Download pdf - D-link manegement

Учебное пособие:

Коммутаторы локальных сетей D-Link

Четвертое издание

Москва, 2006


2

Оглавление ВВЕДЕНИЕ. КРАТКИЙ ОБЗОР ПРИНЦИПОВ СЕТЕВОГО ПРОЕКТИРОВАНИЯ.......................................................................................................................5

ЭВОЛЮЦИЯ ЛОКАЛЬНЫХ СЕТЕЙ: ОТ РАЗДЕЛЯЕМОЙ СРЕДЫ ПЕРЕДАЧИ ДО КОММУТИРУЕМОЙ ....5 Компоненты коммутируемой межсетевой модели. ...............................................6

КОММУТАТОРЫ ЛОКАЛЬНОЙ СЕТИ .....................................................................................................7 Функционирование коммутаторов локальной сети ..................................................7 Дуплексный и полудуплексный режим работы коммутатора ..............................8 Управление потоком IEEE 802.3x в дуплексном режиме...................................9

Методы коммутации.................................................................................................................9 Технологии коммутации и модель OSI .........................................................................10 Технологическая реализация коммутаторов .............................................................12 Коммутаторы на основе коммутационной матрицы ...........................................12 Коммутаторы с разделяемой памятью ......................................................................13 Коммутаторы с общей шиной........................................................................................14

Конструктивное исполнение коммутаторов ...............................................................15 Технология xStack™ ..............................................................................................................19 Виртуальный стек. Технология Single IP Management™ .....................................23

ХАРАКТЕРИСТИКИ, ВЛИЯЮЩИЕ НА ПРОИЗВОДИТЕЛЬНОСТЬ КОММУТАТОРОВ ............................25 Скорость фильтрации и скорость продвижения ......................................................25 Размер адресной таблицы ..................................................................................................26 Объем буфера кадров ..........................................................................................................27

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОММУТАТОРОВ..............................................................................28 Средства и программное обеспечение сетевого управления............................29

ОБЩИЕ ПРИНЦИПЫ СЕТЕВОГО ДИЗАЙНА ........................................................................................30 Трехуровневая иерархическая модель сети..............................................................31 Уровень ядра ........................................................................................................................31 Уровень распределения...................................................................................................32 Уровень доступа ..................................................................................................................32

ПРОДУКТЫ D-LINK............................................................................................................................33 Коммутаторы уровня доступа ...........................................................................................34 Коммутаторы уровня распределения ............................................................................35 Коммутаторы уровня ядра ..................................................................................................37

НАСТРОЙКА КОММУТАТОРА ................................................................................................39

ПОНЯТИЕ НЕУПРАВЛЯЕМЫХ, УПРАВЛЯЕМЫХ И НАСТРАИВАЕМЫХ КОММУТАТОРОВ ....................39 ПОДКЛЮЧЕНИЕ К КОММУТАТОРУ .....................................................................................................39 ПОДКЛЮЧЕНИЕ К ЛОКАЛЬНОЙ КОНСОЛИ КОММУТАТОРА .............................................................41 НАЧАЛЬНАЯ КОНФИГУРАЦИЯ КОММУТАТОРА ..................................................................................43 Вызов помощи по командам ..............................................................................................43 Базовая конфигурация коммутатора.............................................................................45 Подключение к Web-интерфейсу управления коммутатора ..............................49

ДОПОЛНИТЕЛЬНЫЕ ФУНКЦИИ КОММУТАТОРОВ ..................................................50

ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ VLAN ........................................................................................51 Типы VLAN..................................................................................................................................51

VLAN на базе портов .........................................................................................................52


3

VLAN на базе MAC-адресов ............................................................................................53 VLAN на базе меток – стандарт IEEE 802.1Q.........................................................54 Определения IEEE 802.1Q ..............................................................................................55 Продвижение пакетов VLAN 802.1Q ..........................................................................55 Теги IEEE 802.1Q VLAN ....................................................................................................56 Port VLAN ID ..........................................................................................................................57 Tagged и Untagged .............................................................................................................59 Фильтрация входящего трафика .................................................................................61

Создание VLAN с помощью команд CLI.......................................................................62 Асимметричные VLAN............................................................................................................64 Пример 1. Конфигурирование асимметричных VLAN в пределах одного коммутатора ..........................................................................................................................66 Пример 2. Конфигурирование асимметричных VLAN на двух автономных коммутаторах ........................................................................................................................69

ОБЪЕДИНЕНИЕ ПОРТОВ И СОЗДАНИЕ ВЫСОКОСКОРОСТНЫХ СЕТЕВЫХ МАГИСТРАЛЕЙ ..............72 Создание агрегированного канала с помощью команд CLI ...........................76 Пример 1. Статическое агрегирование каналов.....................................................................77 Пример 2. Создание группы агрегированного канала в соответствии со стандартом IEEE 802.3ad ................................................................................................79

SPANNING TREE PROTOCOL (IEEE 802.1D) .................................................................................82 Понятие петель ........................................................................................................................82 Широковещательный шторм .........................................................................................82 Множественные копии кадров .....................................................................................82 Множественные петли......................................................................................................83

Пример работы STP................................................................................................................87 Rapid Spanning Tree Protocol (IEEE 802.1w)...............................................................92 Сходимость IEEE 802.1w .................................................................................................95 Последовательность предложений/соглашений ..................................................98 Механизм изменения топологии..................................................................................99 Совместимость IEEE 802.1d/IEEE 802.1w ..............................................................100 Максимальный диаметр сети.......................................................................................101 Сравнение протоколов STP 802.1d и RSTP 802.1w ..........................................101 Конфигурирование STP с помощью команд CLI.................................................102

КАЧЕСТВО СЕРВИСА (QOS) ...........................................................................................................104 Приоритетная обработка кадров (IEEE 802.1р).....................................................104 Конфигурирование приоритетной обработки кадров с помощью CLI.....107

Контроль полосы пропускания ......................................................................................109 Конфигурирование полосы пропускания с помощью команд CLI.............109

ОГРАНИЧЕНИЕ ДОСТУПА К СЕТИ ....................................................................................................111 Port Security и таблица фильтрации коммутатора ................................................111 Настройка Port Security с помощью CLI .................................................................112

СЕГМЕНТАЦИЯ ТРАФИКА .................................................................................................................114 Конфигурирование Traffic Segmentation с помощью CLI...............................115

ПРОТОКОЛ IEEE 802.1Х ..............................................................................................................116 Роли устройств .......................................................................................................................116 Состояние портов коммутатора .....................................................................................118 Ограничения аутентификации IEEE 802.1х .........................................................119 Конфигурирование IEEE 802.1х с помощью CLI ................................................120

ACCESS CONTROL LISTS (ACL).....................................................................................................123 Алгоритм создания профиля доступа .........................................................................123


4

Создание профилей доступа (с использованием Web-интерфейса) ...........123 Конфигурирование Access Control Lists (ACL) с помощью CLI ....................128 Примеры профилей доступа........................................................................................131

МНОГОАДРЕСНАЯ РАССЫЛКА .........................................................................................................139 Адресация многоадресной рассылки ..........................................................................139 МАС-адреса групповой рассылки .................................................................................139 Подписка и обслуживание групп ..................................................................................140 Протокол IGMP v1.............................................................................................................140 Протокол IGMP v2.............................................................................................................141

Управление многоадресной рассылкой на 2 уровне ...........................................142 Конфигурирование IGMP- snooping с помощью CLI.........................................144

ЛИТЕРАТУРА: ...............................................................................................................................148

ПРИЛОЖЕНИЕ А. СИНТАКСИС КОМАНД.....................................................................149

ПРИЛОЖЕНИЕ В. ГЛОССАРИЙ ..........................................................................................150


5

ВВЕДЕНИЕ. Краткий обзор принципов сетевого проектирования

Эволюция локальных сетей: от разделяемой среды передачи до

коммутируемой Еще десять лет назад для создания кампусных сетей у разработчиков

имелось ограниченное количество аппаратных средств. В серверных комнатах устанавливались концентраторы, а в центрах обработки данных и на магистралях сети использовались маршрутизаторы. Увеличивающаяся мощность процессоров рабочих станций, появление мультимедийных приложений и приложений клиент-сервер требовали большей полосы пропускания, чем могла обеспечить традиционная сеть с разделяемой средой передачи. Эти требования подтолкнули проектировщиков к замене концентраторов, установленных в коммутационных отсеках на коммутаторы.

Рисунок 1 Эволюция ЛВС

Эта стратегия позволила защитить инвестиции, вложенные в кабельную систему и увеличить производительность сети, благодаря предоставлению каждому пользователю выделенной полосы пропускания.

Создание таких технологий, как коммутация 3-го уровня, виртуальные локальные сети VLAN и др. сделало построение кампусных сетей более сложным процессом, чем ранее.

Большинство проектировщиков сетей начали интегрировать коммутирующие устройства в сети с разделяемой средой передачи для достижения следующих целей:

Увеличения полосы пропускания доступной каждому пользователю сети, уменьшая при этом перегрузку в сетях с разделяемой полосой пропускания.

Создания виртуальных локальных сетей VLAN (Virtual Local Area Network) путем организации пользователей в логические группы,


6

независимые от физической топологии с целью уменьшения расходов на перемещение, добавление и изменение и повышения гибкости сети.

Развертывания новых мультимедийных приложений на коммутаторах различных платформ и технологий, делая их доступными различным пользователям.

Обеспечения простого перехода к новым высокоскоростным технологиям, таким как Fast Ethernet, Gigabit Ethernet.

В 1990-х годах традиционные кампусные сети появлялись в виде единой локальной вычислительной сети и разрастались до тех пор, пока для поддержания их функциональности не понадобилась сегментация. Сегментация позволила делить пользователей сети на несколько групп (сегментов) в соответствии с их физическим размещением, уменьшая количество клиентов соперничающих за полосу пропускания в каждой из них. Сегменты локальной сети объединялись с помощью межсетевых устройств, которые передавали межсегментный трафик и блокировали весь остальной.

Коммутаторы локальных сетей разрабатывались с учетом этой тенденции. Они используют микросегментацию, которая позволяет создать частные или выделенные сегменты локальной сети – по одной рабочей станции на сегмент (к порту коммутатора подключается не сегмент, а только рабочая станция). При этом каждая рабочая станция получает доступ сразу ко всей полосе пропускания, и ей не приходится конкурировать с другими станциями.

Коммутаторы объединяют различные сегменты локальной сети и выполняют интеллектуальное управление трафиком. Помимо этого коммутаторы обычно обеспечивают неблокирующие сервисы, что позволяет выполнять одновременную передачу потока данных от всех портов устройства.

Технология коммутации быстро стала предпочтительным решением для повышения гибкости управления трафиком локальной сети по следующим причинам:

В отличие от концентраторов и повторителей, коммутаторы позволяют одновременную передачу множества потоков данных.

Благодаря микросегментации коммутаторы поддерживают высокую скорость передачи и имеют возможность предоставлять выделенную полосу пропускания приложениям, чувствительным к задержкам.

Коммутаторы обеспечивают пользователям выделенную полосу пропускания.

Компоненты коммутируемой межсетевой модели.

Коммутируемая сеть состоит из следующих основных компонентов:

• Коммутаторов локальной сети; • Программного обеспечения коммутаторов; • Средств сетевого управления.

Компания D-Link предоставляет сетевым проектировщикам полный набор средств для создания и управления масштабируемой, надежной коммутируемой сети.


7

Коммутаторы локальной сети

Первым компонентом коммутируемой межсетевой модели являются

коммутаторы локальной сети.

Функционирование коммутаторов локальной сети

Коммутаторы – это устройства канального уровня, которые позволяют соединить несколько физических сегментов локальной сети в одну большую сеть. Коммутация локальных сетей обеспечивает взаимодействие сетевых устройств по выделенной линии без возникновения коллизий, с параллельной передачей нескольких потоков данных.

Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста (transparent bridge) IEEE 802.1, который применяется в основном в сетях Ethernet. При включении питания коммутатор начинает изучать расположение рабочих станций всех присоединенных к нему сетей путем анализа МАС-адресов источников входящих кадров. Например, если на порт 1 коммутатора поступает кадр от узла 1, то он запоминает номер порта, на который этот кадр пришел и добавляет эту информацию в таблицу коммутации (forwarding database). Адреса изучаются динамически. Это означает, что, как только будет прочитан новый адрес, то он сразу будет занесен в контентно-адресуемую память (content-addressable memory, CAM). Каждый раз, при занесении адреса в таблицу коммутации, ему присваивается временной штамп. Это позволяет хранить адреса в таблице в течение определенного времени. Каждый раз, когда идет обращение по этому адресу, он получает новый временной штамп. Адреса, по которым не обращались долгое время, из таблицы удаляются.

Рисунок 2 Построение таблицы коммутации


8

Коммутатор использует таблицу коммутации для пересылки трафика. Когда на один из его портов поступает пакет данных, он извлекает из него информацию о МАС-адресе приемника и ищет этот МАС-адрес в своей таблице коммутации. Если в таблице есть запись, ассоциирующая МАС-адрес приемника с одним из портов коммутатора, за исключением того, на который поступил кадр, то кадр пересылается через этот порт. Если такой ассоциации нет, кадр передается через все порты, за исключением того, на который он поступил. Это называется лавинным распространением (flooding). Широковещательная и многоадресная рассылка выполняется также путем лавинного распространения. С этим связана одна из проблем, ограничивающая применение коммутаторов. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. В случае если в результате каких-либо программных или аппаратных сбоев протокол верхнего уровня или сам сетевой адаптер начнет работать не правильно, и будет постоянно генерировать широковещательные кадры, коммутатор в этом случае будет передавать кадры во все сегменты, затапливая сеть ошибочным трафиком. Такая ситуация называется широковещательным штормом (broadcast storm).

Коммутаторы надежно изолируют межсегментный трафик, уменьшая таким образом трафик отдельных сегментов. Этот процесс называется фильтрацией (filtering) и выполняется в случаях, когда МАС-адреса источника и приемника принадлежат одному сегменту. Обычно фильтрация повышает скорость отклика сети, ощущаемую пользователем.

Дуплексный и полудуплексный режим работы коммутатора

Коммутаторы локальных сетей поддерживают два режима работы: полудуплексный режим и дуплексный режим.

Полудуплексный режим - это режим, при котором, только одно устройство может передавать данные в любой момент времени в одном домене коллизий1.

Дуплексный режим – это режим работы, который обеспечивает одновременную двухстороннюю передачу данных между станцией-отправителем и станцией-получателем на МАС - подуровне. При работе в дуплексном режиме, между сетевыми устройствами повышается количество передаваемой информации. Это связано с тем, что дуплексная передача не вызывает в среде передачи коллизий, не требует составления расписания повторных передач и добавления битов расширения в конец коротких кадров. В результате не только увеличивается время, доступное для передачи данных, но и удваивается полезная полоса пропускания канала, поскольку каждый канал обеспечивает полноскоростную одновременную двустороннюю передачу2.

1 Доменом коллизий (collision domain) называется часть сети Ethernet, все узлы которой распознают коллизию независимо от того, в какой части сети эта коллизия возникла. 2 Дуплексный режим работы поддерживают коммутаторы и практически все современные адаптеры. Концентраторы не поддерживают работу в этом режиме.


9

Управление потоком IEEE 802.3x в дуплексном режиме

Дуплексный режим работы требует наличия такой дополнительной функции, как управление потоком. Она позволяет принимающему узлу (например, порту сетевого коммутатора) в случае переполнения дать узлу-источнику команду (например, файловому серверу) приостановить передачу кадров на некоторый короткий промежуток времени. Управление осуществляется между МАС-уровнями с помощью кадра-паузы, который автоматически формируется принимающим МАС уровнем. Если переполнение будет ликвидировано до истечения периода ожидания, то для того, чтобы восстановить передачу, отправляется второй кадр-пауза с нулевым значением времени ожидания (см. Рисунок 3).

Рисунок 3 Последовательность управления потоком IEEE 802.3x

Дуплексный режим работы и сопутствующее ему управление потоком являются дополнительными режимами для всех МАС-уровней Ethernet независимо от скорости передачи. Кадры-паузы идентифицируются как управляющие МАС-кадры по индивидуальным (зарезервированным) значениям поля длины/типа. Им также присваивается зарезервированное значение адреса приемника, чтобы исключить возможность передачи входящего кадра-паузы протоколам верхних уровней или на другие порты коммутатора.

Методы коммутации

В коммутаторах локальных сетей могут быть реализованы различные методы передачи кадров.

При коммутации с промежуточным хранением (store-and-forward) – коммутатор копирует весь принимаемый кадр в буфер и производит его проверку на наличие ошибок. Если кадр содержит ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт), то он отбрасывается. Если кадр не содержит ошибок, то коммутатор находит адрес приемника в своей таблице коммутации и определяет исходящий интерфейс. Затем, если не определены никакие фильтры, он передает этот кадр приемнику.

Этот способ передачи связан с задержками - чем больше размер кадра, тем больше времени требуется на его прием и проверку на наличие ошибок.


10

Коммутация без буферизации (cut-through) – коммутатор локальной сети копирует во внутренние буферы только адрес приемника (первые 6 байт после префикса) и сразу начинает передавать кадр, не дожидаясь его полного приема. Это режим уменьшает задержку, но проверка на ошибки в нем не выполняется. Существует две формы коммутации без буферизации:

Коммутация с быстрой передачей (fast-forward switching) – эта форма коммутации предлагает низкую задержку за счет того, что кадр начинает передаваться немедленно, как только будет прочитан адрес назначения. Передаваемый кадр может содержать ошибки. В этом случае сетевой адаптер, которому предназначен этот кадр, отбросит его, что вызовет необходимость повторной передачи этого кадра.

Коммутация с исключением фрагментов (fragment-free switching) – коммутатор фильтрует коллизионные кадры, перед их передачей. В правильно работающей сети, коллизия может произойти во время передачи первых 64 байт. Поэтому, все кадры, с длиной больше 64 байт считаются правильными. Этот метод коммутации ждет, пока полученный кадр не будет проверен на предмет коллизии, и только после этого, начнет его передачу. Такой метод коммутации уменьшает количество пакетов передаваемых с ошибками.

Технологии коммутации и модель OSI

Коммутаторы локальных сетей можно классифицировать в соответствии с уровнями модели OSI, на которых они передают, фильтруют и коммутируют кадры. Различают коммутаторы уровня 2 (Layer 2 Switch), коммутаторы уровня 2 со свойствами уровня 3 (Layer 3 Switch) и многоуровневые коммутаторы.

Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС – адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 – прозрачность для протоколов верхнего уровня. Поскольку коммутатор функционирует на 2-м уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI.

Коммутация 2-го уровня – аппаратная. Она обладает высокой производительностью, поскольку пакет данных не претерпевает изменений. Передача кадра в коммутаторе может осуществляться специализированным контроллером, называемым Application-Specific Integrated Circuits (ASIC). Эта технология, разработанная для коммутаторов, позволяет обеспечивать высокие скорости коммутации с минимальными задержками.

Существуют 2 основные причины использования коммутаторов 2-го уровня – сегментация сети и объединение рабочих групп. Высокая производительность коммутаторов позволяет разработчикам сетей значительно уменьшить количество узлов в физическом сегменте. Деление крупной сети на логические сегменты повышает производительность сети (за счет уменьшения объема передаваемых данных в отдельных сегментах), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.

Несмотря на преимущества коммутации 2-го уровня, она все же имеет некоторые ограничения. Наличие коммутаторов в сети не препятствует


11

распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность.

Таким образом, очевидно, что для повышения производительности сети необходима функциональность 3-го уровня OSI модели.

Коммутатор локальной сети уровня 2 с функциями уровня 3 (или коммутатор 3-го уровня) принимает решение о коммутации на основании бóльшего количества информации, чем просто МАС-адрес. Коммутаторы 3-го уровня осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней OSI модели. Такие коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать (уровень 3) входящий трафик. Коммутаторы 3 уровня выполняет коммутацию в пределах рабочей группы и маршрутизацию между рабочими группами.

Коммутаторы 3-го уровня функционально практически ничем не отличаются от традиционных маршрутизаторов и выполняют те же функции:

• определение оптимальных путей передачи данных на основе логических адресов (адресов сетевого уровня, традиционно IP-адресов)

• управление широковещательным и многоадресным трафиком • фильтрация трафика на основе информации 3-го уровня • IP- фрагментация.

Основное отличие между маршрутизаторами и коммутаторами 3-го уровня заключается в том, что в маршрутизаторах общего назначения принятие решения о пересылке пакетов обычно выполняется программным образом, а в коммутаторах обрабатывается специализированными контроллерами ASIC. Это позволяет коммутаторам выполнять маршрутизацию пакетов на скорости канала связи.

D-Link предлагает проектировщикам сетей широкий модельный ряд высокопроизводительных коммутаторов 3-го уровня Fast Ethernet и Gigabit Ethernet. Это семейство коммутаторов серии xStack™ DGS-3324SR, DGS-3324SRi, DXS-3326GSR, DXS-3350SR и DES-3352SR, модульный коммутатор DGS-3312SR, шасси DES-6500 и др.

Коммутация 4-го уровня считается технологией аппаратной коммутации уровня 3, которая может учитывать используемое приложение (например, Telnet или FTP). Коммутаторы D-Link используют информацию 4-го уровня (номера портов, находящиеся в заголовке транспортного уровня) при создании списков доступа для фильтрации данных протоколов верхнего уровня, программ и приложений.

Многоуровневые коммутаторы сочетают в себе технологии коммутации уровней 2, 3 и 4. Принятие решения о передаче данных осуществляется в таких коммутаторах на основе следующей информации:

• МАС - адресе источника/приемника кадра данных • IP-адресе источника/приемника из заголовка сетевого (3-го) уровня

• типа протокола в заголовке сетевого уровня • номера порта источника/приемника в заголовке транспортного уровня.


12

Технологическая реализация коммутаторов

Коммутаторы ЛВС отличаются большим разнообразием возможностей и,

следовательно, цен. Одной из причин столь больших различий является то, что, они предназначены для решения различных классов задач. Коммутаторы высокого класса должны обеспечивать высокую производительность и плотность портов, а также поддерживать широкий спектр функций управления. Такие устройства зачастую кроме традиционной коммутации на MAC-уровне выполняют функции маршрутизации. Простые и дешевые коммутаторы имеют обычно небольшое число портов и не способны поддерживать функции управления.

Одним из основных различий является используемая в коммутаторе архитектура. Поскольку большинство современных коммутаторов работают на основе патентованных контроллеров ASIC, устройство этих микросхем и их интеграция с остальными модулями коммутатора (включая буферы ввода-вывода) играет важнейшую роль. Коммутаторы, реализующие также функции сетевого уровня (маршрутизацию), оснащены, как правило, RISC-процессорами для выполнения ресурсоемких программ маршрутизации.

Контроллеры ASIC для коммутаторов ЛВС делятся на 2 класса - большие ASIC, способные обслуживать множество коммутируемых портов (один контроллер на устройство) и небольшие контроллеры ASIC, обслуживающие несколько портов и объединяемые в матрицы коммутации. Вопросы масштабирования и стратегия разработчиков коммутаторов в области организации магистралей и/или рабочих групп определяет выбор ASIC и, следовательно, - скорость продвижения коммутаторов на рынок.

Существует 3 варианта архитектуры коммутаторов:

• На основе коммутационной матрицы (cross-bar); • С разделяемой многовходовой памятью (shared memory); • На основе общей высокоскоростной шины.

Часто эти три способа взаимодействия комбинируются в одном

коммутаторе.

Коммутаторы на основе коммутационной матрицы

Коммутационная матрица (cross-bar) - основной и самый быстрый способ взаимодействия процессоров портов, именно он был реализован в первом промышленном коммутаторе локальных сетей. Однако, реализация матрицы возможна только для определенного числа портов, причем сложность схемы возрастает пропорционально квадрату количества портов коммутатора.

На рисунке показана блок-схема коммутатора с архитектурой, используемой для поочередного соединения пар портов. В любой момент такой коммутатор может обеспечить организацию только одного соединения (пара портов). При невысоком уровне трафика не требуется хранение данных в памяти перед отправкой в порт назначения. Однако, коммутаторы cross-bar требуют буферизации на входе от каждого порта, поскольку в случае использования единственного возможного соединения коммутатор


13

блокируется. Несмотря на малую стоимость и высокую скорость продвижения на рынок, коммутаторы класса cross-bar слишком примитивны для эффективной трансляции между низкоскоростными и высокоскоростными интерфейсами.

Рисунок 4 Блокировка коммутатора на основе коммутационной матрицы

Коммутаторы с разделяемой памятью

Коммутаторы с разделяемой памятью (shared memory switch) имеют общий входной буфер для всех портов. Буферизация данных перед их рассылкой приводит к возникновению задержки. Однако, коммутаторы с разделяемой памятью, как показано на рисунке 5 не требуют организации специальной внутренней магистрали для передачи данных между портами, что обеспечивает им более низкую цену по сравнению с коммутаторами на базе высокоскоростной внутренней шины.

Рисунок 5 Архитектура коммутатора с разделяемой памятью


14

Коммутаторы с общей шиной

Коммутаторы с общей шиной (backplane) используют для связи процессоров портов высокоскоростную шину, используемую в режиме разделения времени. На рисунке 6 показана блок-схема коммутатора с высокоскоростной шиной, связывающей контроллеры ASIC. После того, как данные преобразуются в приемлемый для передачи по шине формат, они помещаются на шину и далее передаются в порт назначения.

Рисунок 6 Коммутатор с высокоскоростной шиной

Для того чтобы шина не была узким местом коммутатора, ее производительность должна быть, по крайней мере, в

2*1∑

N

iСр Мбит/с

(где N – количество портов, Cpi - максимальная производительность протокола, поддерживаемого i-м портом коммутатора)

раз выше скорости поступления данных во входные блоки процессоров

портов. Кроме этого, кадр должен передаваться по шине небольшими частями, по несколько байт, чтобы передача кадров между несколькими портами происходила в псевдопараллельном режиме, не внося задержек в передачу кадра в целом. Размер такой ячейки данных определяется производителем коммутатора. Поскольку шина может обеспечивать одновременную передачу потока данных от всех портов, такие коммутаторы часто называют «неблокируемыми» (non-blocking) - они не создают пробок на пути передачи данных.


15

Конструктивное исполнение коммутаторов

В конструктивном отношении коммутаторы делятся на следующие типы:

• автономные коммутаторы с фиксированным количеством портов; • модульные коммутаторы на основе шасси; • коммутаторы с фиксированным количеством портов, объединяемые в стек.

Первый тип коммутаторов обычно предназначен для организации

небольших рабочих групп. Они могут иметь от 8 до 50 портов со скоростями 10,100,1000Мбит/с, заключенных в корпус для настольной установки или монтажа в стойку. К этому типу можно отнести семейство неуправляемых коммутаторов Fast Ethernet в настольном управлении D-Link DES-1005D, DES-1008D, DES-1018DG, DES-1024DG, DES-1010G, DES-1016D, DES-1024D и др.

Рисунок 7 Настольный неуправляемый коммутатор DES-1018DG

Рисунок 8 Монтируемый в стойку настраиваемый коммутатор DES-1226G

Модульные коммутаторы на основе шасси чаще всего предназначены для применения на магистрали сети. Поэтому они выполняются на основе какой-либо комбинированной схемы, в которой взаимодействие модулей организуется по быстродействующей шине или же на основе быстрой разделяемой памяти большого объема. Модули такого коммутатора выполняются на основе технологии «hot swap», то есть допускают замену на ходу, без выключения коммутатора, так как центральное коммуникационное устройство сети не должно иметь перерывов в работе. Шасси обычно снабжается резервными источниками питания и резервными вентиляторами в тех же целях.

Модульные коммутаторы уровня 2 и 3 D-Link представлены следующими моделями:

• шасси 2 уровня – DES-1200M, DES-6000, DES-7000 • шасси 3 уровня – DES-6300, DES-6500.


16

Рисунок 9 Модульный коммутатор 3-го уровня DES-6500

С технической точки зрения определенный интерес вызывают стековые коммутаторы. Эти устройства представляют собой коммутаторы, которые могут работать автономно, так как выполнены в отдельном корпусе, но имеют специальные интерфейсы, которые позволяют их объединять в общую систему, работающую как единый виртуальный коммутатор. Говорится, что в этом случае отдельные коммутаторы образуют стек.

Стекируемые управляемые коммутаторы D-Link представлены следующими семействами:

• управляемые стекируемые коммутаторы Fast Ethernet 2/3-го уровня семейства DES-3x26S;

• управляемые коммутаторы Fast Ethernet 2/3-го уровня семейства DES-35xx и 38хх с поддержкой виртуального стека и технологии Single IP Management (SIM);

• семейство высокопроизводительных управляемых стекируемых коммутаторов Fast/Gigabit Ethernet 3-го уровня с поддержкой технологий SIM и xStack™ DES-3352SR, DGS-3324SR, DGS-3324SRi, DXS-3326GSR, DXS-3350SR, DGS-34xx и DGS-36xx.

Объединение коммутаторов в стек осуществляется с помощью

специализированных модулей и кабелей для стекирования по топологии «кольцо» или «звезда».

Стек типа «кольцо» строится по следующей схеме: один специализированный интерфейс для стекирования с помощью специализированых кабелей подключается к вышележащему коммутатору, а второй - к нижележащему, при этом самый нижний и самый верхний коммутатор в стеке также объединяются.

В качестве примера приведены стеки топологии «кольцо», построенные на коммутаторах DGS-3324SR и DES-3226S.


17

Рисунок 10 Стек на коммутаторах DGS-3324SR

Рисунок 11 Стек на коммутаторах DES-3226S

Передача данных в таком стеке выполняется по кругу в направлении коммутаторов с большими номерами (каждый коммутатор стека имеет свой порядковый номер), как показано на рисунке 10.

Рисунок 12 Передача данных от коммутатора 8 коммутатору 4 в стеке «кольцо»


18

Максимальное количество устройств, которое может быть объединено в стек зависит от модели коммутатора и его программного обеспечения. В настоящее время в стек топологии «кольцо» можно объединить до 13 коммутаторов DES-3226S или DES-3326S и до 12 коммутаторов серии xStack DGS-3324SR.

Стек типа «звезда» строится по следующей схеме: коммутаторы объединяются не друг с другом, а с отдельным устройством, обеспечивающим более высокопроизводительный обмен данными между любыми парами коммутаторов. Роль агрегирующего устройства такого стека исполняет мастер-коммутатору.

По сравнению с топологией «кольцо», основными преимуществами данной архитектуры являются:

• бóльшая устойчивость к ошибкам, т.к. разрыв связи между коммутатором и мастером- коммутатором не повлияет на остальные каналы связи стека. (В случае использования топологии «кольцо» у коммутаторов DES-3326S/3226S, разрыв связи между 2-мя любыми коммутаторами, приведет к прекращению работы всего стека);

• повышенная производительность, так как каждое соединение точка-точка является полнодуплексным соединением.

Компания D-Link производит высокопроизводительные коммутаторы Gigabit Ethernet 3-го уровня D-Link DGS-3312SR и DGS-3324SRi, которые могут выступать в качестве мастер-коммутатора стека типа «звезда».

Используя стекирующие модули DEM-540, коммутатор DGS-3312SR позволяет объединить в стек до 12 стековых коммутаторов 2-го уровня DES-3226S, получив до 288 портов 10/100 Мбит/с Fast Ethernet и 12 портов Gigabit Ethernet, и управлять ими как единым сетевым узлом. Следует отметить, что, используя DGS-3312SR в качестве агрегирующего устройства стека крупной рабочей группы предприятия или здания, можно создать гибкую, легко управляемую структуру на основе коммутаторов 2-го уровня и расширить функциональность сети, построенной на этих коммутаторах до предоставления услуг 3-го уровня.

Рисунок 13 Стек типа «звезда» на коммутаторах DGS-3312SR (в середине) и DES-3226S


19

Технология xStack™

Семейство гигабитных управляемых коммутаторов 3 уровня DGS-3324SR/DGS-3324SRi и DXS-3326GSR/DXS-3350SR с интегрированной поддержкой 10-Gigabit Ethernet основано на новой высокоскоростной технологии стекирования устройств xStack™.

Технология xStack™ позволяет выбрать оптимальный путь передачи данных между устройствами стека, организованного по топологии «кольцо», и в значительной степени повысить его отказоустойчивость.

Сравним работу традиционного стека топологии «кольцо» и стека с поддержкой технологии xStack™.

Рассмотрим путь передачи данных между коммутаторами 8 и 4 в обычном стеке (см. Рисунок 14). Напомним, что передача данных в таком стеке ведется по кругу в направлении увеличения порядковых номеров коммутаторов. Как видно из рисунка, этот маршрут передачи не является оптимальным (8->9->10->11->12->1->2->3->4).

Рисунок 14 Передача данных в традиционном стеке «кольцо»

Технология xStack™ позволяет значительно сократить этот путь, выбрав наикратчайший маршрут передачи данных между устройствами стека (8->7->6->5->4).


20

Рисунок 15 Передача данных в стеке с поддержкой технологии xStack

В примере (см. Рисунок 15) показано, что данные от коммутатора 8 теперь передаются не по кругу, как было ранее, а непосредственно в направлении коммутатора 4. При этом следует отметить, что весь трафик в стеке передается одновременно и локальный трафик не оказывает влияния на трафик, циркулирующий внутри стека.

Как уже было отмечено ранее, технология xStack™ позволяет значительно повысить отказоустойчивость стека технологии «кольцо». Данная технология поддерживает механизм полного резервирования (Full Redundancy Mechanism), позволяющий в случае выхода одного из коммутаторов стека из строя, автоматически передавать данные по обходному пути 8->9->10->11->12->1->2->3->4 (см. Рисунок 16)


21

Рисунок 16 Передача данных в стеке с поддержкой технологии хStackTM при разрыве соединения

между коммутаторами (отказ коммутатора 6)

Коммутаторы семейства хStackTM DGS-3324SR, DGS-3324SRi, DXS-3326GSR и DXS-3350SR имеют высокоскоростную систему стекирования с производительностью 10 Гбит/с в каждом направлении. Поскольку передача данных между устройствами стека ведется в полнодуплексном режиме, то полоса пропускания удваивается и составляет 20 Гбит/с.

Рисунок 17 Скорость передачи данных в каждом направлении в стеке «кольцо»


22

В результате в этом стека будет доступна разделяемая полоса пропускания до 40 Гбит/с.

Рисунок 18 Разделяемая полоса пропускания стека «кольцо» технологии хStackTM

В стек топологии «кольцо» можно объединить до 12 коммутаторов DGS-3324SR, DXS-3326GSR или DXS-3350SR и получить до 336 портов Gigabit Ethernet.

Коммутаторы семейства хStackTM также поддерживают стекирование по топологии «звезда» через мастер-коммутатор DGS-3324SRi. Это устройство позволяет объединить до 6 коммутаторов DGS-3324SR, DXS-3326GSR или DXS-3350SR и получить отказоустойчивый стек с суммарной пропускной способностью шины 120 Гбит/с. Максимальная плотность портов такого стека, с учетом мастер-коммутатора, составляет до 312 портов Gigabit Ethernet и до 12 портов 10 Gigabit Ethernet.

Рисунок 19 Стек «звезда» на основе мастера-коммутатора DGS-3324Sri (в середине)

Виртуальный стек. Технология Single IP Management™

Объединение устройств в стек требует наличия специальных модулей и кабелей для стекирования, что ограничивает возможность включения в стек коммутаторов разных моделей, кроме того требуется установка коммутаторов в один монтажный шкаф. Устранить эти ограничения позволяет использование новой технологии D-Link Single IP Management™ (SIM). Данная технология реализована в коммутаторах DES-3526, DES-3550, DGS-3312SR и коммутаторах серии xStack.

Single IP Management™ (SIM) - это технология управления виртуальным стеком через единый IP адрес. Виртуальный стек поддерживает до 32-х коммутаторов, которые объединены с помощью стандартных портов Ethernet.

Рисунок 20 Виртуальный стек с поддержкой технологии Single IP Management

Технология SIM позволяет: • устранить ограничения на модели коммутаторов, объединяемых в стек;

• уменьшить количество управляющих IP-адресов в сети; • устранить необходимость использования специализированных модулей и кабелей, предназначенных для стекирования;

• преодолеть ограничения, связанные с длиной кабелей в стеке. В отличие от стеков, построенных с использованием традиционных

методов стекирования, виртуальный стек на основе технологии SIM не ограничивается 7-ю или 12-ю коммутаторами. В SIM-группу могут входить до 32 коммутаторов любых моделей, поддерживающих функции Single IP ManagementTM3. Это означает, что виртуальный стек может быть расширен коммутаторами разного типа, от недорогих коммутаторов 2-го уровня до высокопроизводительных коммутаторов на основе шасси (для ядра сети).

Объединение коммутаторов в SIM-стек не требует использования специальных соединительных кабелей. Трафик, передаваемый между устройствами стека, проходит через полнодуплексные интерфейсы Fast

3 В коммутаторах с поддержкой Single IP ManagementTM (SIM) термин “стек” равнозначен термину «SIM-группа». SIM-группа – это группа коммутаторов, управляемая как единое устройство


24

Ethernet, Gigabit Ethernet или 10 Gigabit Ethernet (10GBE) по обычным медным или оптическим кабелям. Отказ от использования специализированных стекирующих кабелей позволяет преодолеть ограничения, связанные с их длиной. В стек могут быть объединены устройства, расположенные в любом месте сети. Расстояние между узлами виртуального стека определяется лишь ограничениями соответствующего стандарта Ethernet и может достигать десятков километров.


25

Характеристики, влияющие на производительность коммутаторов

Производительность коммутатора – характеристика, на которую

сетевые интеграторы и опытные администраторы обращают внимание в первую очередь при выборе устройства.

Основными показателями коммутатора, характеризующими его производительность, являются:

• скорость фильтрации кадров; • скорость продвижения кадров; • пропускная способность; • задержка передачи кадра.

Кроме того, существует несколько характеристик коммутатора, которые в наибольшей степени влияют на указанные характеристики производительности. К ним относятся:

• тип коммутации; • размер буфера (буферов) кадров; • производительность внутренней шины; • производительность процессора или процессоров; • размер внутренней адресной таблицы.

Скорость фильтрации и скорость продвижения

Скорость фильтрации и продвижения кадров - это две основные характеристики производительности коммутатора. Эти характеристики являются интегральными показателями и не зависят от того, каким образом технически реализован коммутатор.

Скорость фильтрации (filtering) определяет скорость, с которой

коммутатор выполняет следующие этапы обработки кадров: • прием кадра в свой буфер; • просмотр адресной таблицы с целью нахождения порта для адреса назначения кадра;

• уничтожение кадра, если его порт назначения и порт источника принадлежат одному логическому сегменту;

• Скорость фильтрации практически у всех коммутаторов является неблокирующей - коммутатор успевает отбрасывать кадры в темпе их поступления.

Скорость продвижения (forwarding) определяет скорость, с которой

коммутатор выполняет следующие этапы обработки кадров: • прием кадра в свой буфер; • просмотр адресной таблицы с целью нахождения порта для адреса назначения кадра;

• передача кадра в сеть через найденный по адресной таблице порт назначения.

Как скорость фильтрации, так и скорость продвижения измеряется

обычно в кадрах в секунду. Если в характеристиках коммутатора не уточняется, для какого протокола и для какого размера кадра приведены


26

значения скоростей фильтрации и продвижения, то по умолчанию считается, что эти показатели даются для протокола Ethernet и кадров минимального размера, то есть кадров длиной 64 байт (без преамбулы) с полем данных в 46 байт. Применение в качестве основного показателя скорости обработки коммутатором кадров минимальной длины объясняется тем, что такие кадры всегда создают для коммутатора наиболее тяжелый режим работы по сравнению с кадрами другого формата при равной пропускной способности передаваемых пользовательских данных. Поэтому при проведении тестирования коммутатора режим передачи кадров минимальной длины используется как наиболее сложный тест, который должен проверить способность коммутатора работать при наихудшем сочетании параметров трафика.

Пропускная способность коммутатора измеряется количеством

пользовательских данных (в мегабитах или гигабитах в секунду), переданных в единицу времени через его порты. Так как коммутатор работает на канальном уровне, для него пользовательскими данными являются те данные, которые переносятся в поле данных кадров протоколов канального уровня – Ethernet, Fast Ethernet и т.д. Максимальное значение пропускной способности коммутатора всегда достигается на кадрах максимальной длины, так как при этом доля накладных расходов на служебную информацию кадра гораздо ниже, чем для кадров минимальной длины, а время выполнения коммутатором операций по обработке кадра, приходящееся на один байт пользовательской информации, существенно меньше. Поэтому коммутатор может быть блокирующим для кадров минимальной длины, но при этом иметь очень хорошие показатели пропускной способности.

Задержка передачи кадра измеряется как время, прошедшее с момента

прихода первого байта кадра на входной порт коммутатора до момента появления этого байта на его выходном порту. Задержка складывается из времени, затрачиваемого на буферизацию байт кадра, а также времени, затрачиваемого на обработку кадра коммутатором, - просмотра адресной таблицы, принятия решения о продвижении и получения доступа к среде выходного порта.

Величина вносимой коммутатором задержки зависит от режима его работы. Если коммутация осуществляется без буферизации, то задержки обычно невелики и составляют от 5 до 40 мкс, а при полной буферизации кадров - от 50 до 200 мкс (для кадров минимальной длины).

Размер адресной таблицы

Максимальная емкость адресной таблицы определяет предельное количество MAC-адресов, с которыми может одновременно оперировать коммутатор. В таблице коммутации для каждого порта хранятся только те наборы адресов, с которыми он работал в последнее время.

Значение максимального числа МАС - адресов, которое может храниться в таблице коммутации, зависит от области применения коммутатора, измеряется в тысячах записей, например 4К – 4 тысячи адресов. Коммутаторы D-Link для рабочих групп и малых офисов обычно


27

поддерживают таблицу МАС адресов емкостью от 4К до 8К. Коммутаторы крупных рабочих групп поддерживают таблицу МАС адресов емкостью от 8К до 16К, а коммутаторы магистралей сетей – как правило, от 16К до 32 К адресов и более.

Недостаточная емкость адресной таблицы может служить причиной замедления работы коммутатора и засорения сети избыточным трафиком. Если адресная таблица коммутации полностью заполнена, а порт встречает новый адрес источника в поступившем пакете, коммутатор должен вытеснить из таблицы какой-либо старый адрес и поместить на его место новый. Эта операция сама по себе отнимет часть времени, но главные потери производительности будут наблюдаться при поступлении кадра с адресом назначения, который пришлось удалить из адресной таблицы. Так как адрес назначения кадра неизвестен, то коммутатор должен передать этот кадр на все остальные порты. Эта операция будет создавать лишнюю работу для многих процессоров портов, кроме того, копии этого кадра будут попадать и на те сегменты сети, где они совсем не обязательны.

Объем буфера кадров

Внутренняя буферная память коммутатора нужна для временного хранения кадров данных в тех случаях, когда их невозможно немедленно передать на выходной порт. Буфер предназначен для сглаживания кратковременных пульсаций трафика. Ведь даже если трафик хорошо сбалансирован и производительность процессоров портов, а также других обрабатывающих элементов коммутатора достаточна для передачи средних значений графика, это не гарантирует, что их производительности хватит при пиковых значениях нагрузок. Например, трафик может в течение нескольких десятков миллисекунд поступать одновременно на все входы коммутатора, не давая ему возможности передавать принимаемые кадры на выходные порты.

При кратковременном многократном превышении среднего значения интенсивности трафика (а для локальных сетей часто встречаются значения коэффициента пульсации трафика в диапазоне 50-100) возможны потери кадров. Одним из методов борьбы с этим служит буфер большого объема. Чем больше объем этой памяти, тем менее вероятны потери кадров при перегрузках, хотя при несбалансированности средних значений трафика буфер все равно рано или поздно переполнится. Другой метод – управление потоком (Flow control).

Обычно коммутаторы, предназначенные для работы в ответственных частях сети, имеют буферную память в несколько десятков или сотен килобайт на порт. Дополнительным средством защиты может служить общий для всех портов буфер в модуле управления коммутатором. Такой буфер обычно имеет объем в несколько мегабайт.


28

Программное обеспечение коммутаторов Вторым компонентом коммутируемой межсетевой модели является

программное обеспечение коммутаторов. Программное обеспечение коммутаторов D-Link предоставляет полный

набор программных сервисов, необходимых для выполнения в условиях современных сетей таких функций, как управление сетевой безопасностью, QoS и предоставление дополнительных сервисов, обеспечивающих отказоустойчивость сети. Кроме того, программное обеспечение коммутаторов взаимодействует с приложениями сетевого мониторинга и управления использующих протокол SNMP, например D-Link D-View. Эти управляющие программы поддерживаются всей линейкой управляемых коммутаторов D-Link.

Системное программное обеспечение располагается во Flash-памяти коммутатора, размер которой варьируется в зависимости от модели, обычно 8-16 Мб. Эта память может содержать несколько образов системного программного обеспечения, каждый из которых может быть выборочно загружен в устройство.

Также во Flash-памяти хранится загрузочный модуль, отвечающий за первичное тестирование функциональных компонентов коммутатора после подачи питания, обеспечение загрузки и запуска исполняемого файла.

Текущая конфигурация устройства хранится в энергонезависимой памяти NV-RAM, сохраняющей информацию при отключении питания.


29

Средства и программное обеспечение сетевого управления

Третий и последний компонент коммутируемой межсетевой модели – средства и приложения сетевого управления. Поскольку коммутаторы интегрированы в сеть, сетевое управление становится актуально как для рабочей группы, так и для магистрали сети. Управление коммутируемой сетью требует абсолютно другого подхода по сравнению с традиционными сетями на основе концентраторов. При разработке коммутируемой сети разработчики должны гарантировать, что в их проекте предусмотрено использование приложений для управления сетью, необходимых для наблюдения, настройки, планирования и анализа устройств и сервисов коммутируемой сети. D-Link предлагает программные продукты для сетевого управления семейства D-View.

Рисунок 21 Графики статистики RMON

Рисунок 22 Карта с наложенной на нее схемой сети


30

Общие принципы сетевого дизайна Грамотный сетевой проект основывается на многих принципах,

основные из которых можно выразить следующим образом: • Изучение возможных точек отказа сети – Для того, чтобы единичный отказ не мог изолировать какой-либо из сегментов сети, в ней должна быть предусмотрена избыточность. Под избыточностью понимается резервирование жизненно важных компонентов сети и распределение нагрузки. Так в случае отказа в сети, должен существовать альтернативный или резервный путь к любому ее сегменту. Распределение нагрузки используется в том случае, если к пункту назначения имеется два или более пути, которые могут использоваться в зависимости от загруженности сети. Требуемый уровень избыточности сети меняется в зависимости от ее конкретной реализации;

• Определение типа трафика сети – Например, если в сети используются клиент-серверные приложения, то поток вырабатываемого ими трафика является критичным для эффективного распределения ресурсов, таких как количество клиентов, использующих определенный сервер или количество клиентских рабочих станций в сегменте;

• Анализ доступной полосы пропускания – Например, в сети не должно быть большого различия в доступной полосе пропускания между различными уровнями иерархической модели (описание иерархической модели сети находится в следующем разделе ниже). Важно помнить, что иерархическая модель ссылается на концептуальные уровни, которые обеспечивают функциональность. Фактическая граница между уровнями может не проходить по физическому каналу связи – ей может быть и внутренняя магистраль определенного устройства;

• Создание сети на базе иерархической или модульной модели – Иерархия позволяет объединить через межсетевые устройства отдельные сегменты, которые будут функционировать как единая сеть.


31

Трехуровневая иерархическая модель сети

Рисунок 23 Трехуровневая иерархическая модель ЛВС

Иерархическая модель определяет подход к проектированию сетей и включает в себя три логических уровня:

• уровень доступа; • уровень распределения; • уровень ядра.

Для каждого уровня определены свои функции. Три уровня не обязательно предполагают наличия трех различных устройств. Если провести аналогию с иерархической моделью OSI, то в ней отдельный протокол не всегда соответствует одному из семи уровней. Иногда протокол соответствует более чем одному уровню OSI модели, а иногда несколько протоколов реализованы в рамках одного уровня. Так и при построении иерархических сетей, на одном уровне может быть как несколько устройств, так и одно устройство, выполняющее все функции, определенные на двух соседних уровнях.

Уровень ядра

Уровень ядра – находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру.

Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети.


32

Уровень распределения

Уровень распределения, который иногда называют уровнем рабочих групп, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации, уровень распределения может выполнять следующие функции:

• обеспечение маршрутизации, качества обслуживания и безопасности сети;

• агрегирование каналов; • переход от одной технологии к другой (например, от 100Base-TX к

1000Base-T); • объединение полос пропускания низкоскоростных каналов доступа в высокоскоростные магистральные каналы.

Уровень доступа

Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа/выхода пользователей в сеть. Уровень выполняет следующие функции:

• продолжение (начиная с уровня распределения) управления доступом и политиками сети;

• создание отдельных доменов коллизий (сегментация); • подключение рабочих групп к уровню распределения; • уровень доступа использует технологию коммутируемых локальных сетей.


33

Продукты D-Link Зная размер сети и объем трафика можно подобрать подходящие

коммутаторы D-Link. Производимые D-Link устройства в точности распределяются по трем уровням иерархической модели. Это помогает пользователям определить, какое оборудование оптимально использовать в конкретной сети.

Прежде всего, дадим расшифровку обозначения коммутаторов. Код каждого коммутатора состоит из трех частей.

Первая часть:

• DES (D-Link Ethernet Switch) - коммутаторы D-Link 10/100 Мбит и модули для коммутаторов;

• DGS (D-Link Gigabit Switch) - коммутаторы D-Link 1000 Мбит и модули для коммутаторов, коммутаторы с поддержкой технологии X-Stack;

• DXS (D-Link X-Stack Switch) - коммутаторы D-Link 1000 Мбит с поддержкой технологии X-Stack и поддержкой 10Гбит;

• DEM (D-Link Ethernet Module) - дополнительные мини GBIC SFP трансиверы для коммутаторов DXS;

• DPS (D-Link Power Switch) - резервные источники питания для коммутаторов.

Вторая часть - четыре цифры, первые две: • 10хх – неуправляемые коммутаторы; • 12хх – настраиваемые коммутаторы; • 13хх - настраиваемые коммутаторы с поддержкой РОЕ на части портов;

• 15хх - настраиваемые коммутаторы с поддержкой РОЕ на всех портах;

• 21хх – управляемые коммутаторы 2-го уровня начальной категории;

• 32хх – управляемые коммутаторы 2-го уровня; • 33хх – управляемые коммутаторы 3-го уровня; • 35хх – управляемые коммутаторы 2-го уровня с поддержкой технологии Single IP Management;

• 38хх - управляемые коммутаторы 3-го уровня с поддержкой технологии Single IP Management;

• 65хх – модульный коммутатор 3-го уровня с поддержкой технологии Single IP Management.

Третья и четвертая цифры – количество портов на коммутаторе. Третья часть:

• D (Desktop) - настольное исполнение; • F или FX или FL (Fiber) - оптический интерфейс 100Base-FX ; • G or SX (Gigabit) - оптический интерфейс 1000Base-T или

1000Base-SX; • R (RackMount) - стоечное 19" исполнение (для неуправляемых и настраиваемых коммутаторов), либо возможность установки внешнего источника питания (для управляемых коммутаторов);


34

• M (Module) - модульный коммутатор; • S (Stack) - модуль для стекирования; • TG (Twisted Pair and GBIC) - интерфейсы UTP/STP и GBIC порты; • T or TX or TP- Twisted Pair - интерфейс UTP/STP 10 Мбит или

10/100 Мбит или 1000 Мбит. Например, код DGS-3324SR расшифровывается так: DGS - гигабитный коммутатор 33 - коммутатор третьего уровня 24 - 24 порта SR - коммутатор стекируемый, с возможностью установки внешнего

дополнительного блока питания.

Коммутаторы уровня доступа

Уровень доступа является ближайшим к пользователю уровнем и предоставляет ему доступ к ресурсам сети. Размещенные на этом уровне коммутаторы должны поддерживать подключение отдельных компьютеров к объединенной сети.

Коммутаторы уровня доступа D-Link представлены следующими моделями:

DES-1005D/1008D/1016D/1024D – настольные неуправляемые коммутаторы с 5/8/16/24-портами 10/100BASE-TX, предназначенные для сетей рабочих групп, малых и средних офисов.

Рисунок 24 Коммутатор DES-1008D

DES-1018DG/1024DG – неуправляемые коммутаторы для сетей малых и средних офисов в настольном исполнении, которые предоставляют 16 и 22 порта 10/100BASE-TX с поддержкой автосогласования и 2 порта 1000BASE-T. Порты Gigabit Ethernet предназначены для экономичного подключения серверов через существующую кабельную систему на основе витой пары категории 5.

Рисунок 25 Коммутатор DES-1024DG

DGS-1005D/08D/16D/24D – неуправляемые коммутаторы Gigabit Ethernet в настольном и стоечном исполнении, которые имеют 5/8/16/24-порта 1000BASE-T для высокоскоростного подключения серверов и рабочих станций.


35

Рисунок 26 Коммутатор DGS-1016D

DES-1226G и DGS-12xxT – настраиваемые коммутаторы Fast и Gigabit Ethernet, которые обеспечивают коммутируемые каналы 10/100 Мбит/с и 10/100/1000 Мбит/с для подключения пользователей и серверов в сетях рабочих групп.

DES-3226S/3326S/3326SR – управляемые коммутаторы 2-го и 3-го уровня с 24 портами 10/100BASE-TX и 1 открытым слотом для установки дополнительных оптических модулей Fast и Gigabit Ethernet. Коммутаторы могут использоваться как автономные устройства, так и в составе стека коммутаторов.

DES-3526 и DES-3550 – управляемые коммутаторы Fast Ethernet 2-го уровня с поддержкой технологии Single IP Management (SIM). Эти коммутаторы имеют 24 и 48 10/100BASE-TX портов и 2 комбо порта 1000BASE-T/SFP Gigabit Ethernet в стандартном корпусе для установки в стойку. Коммутаторы серии DES-3500 можно объединять в стек и настраивать вместе с любыми другими коммутаторами с поддержкой технологии SIM, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

Рисунок 27 Коммутаторы DES-3526 и DES-3550

Коммутаторы уровня распределения

Коммутаторы уровня распределения служат местом концентрации для нескольких коммутаторов уровня доступа и должны справляться с большими объемами передаваемых данных.

Такие возможности имеют следующие коммутаторы D-Link: DES-3226S/3326S/3326SR, DES-3250TG, DES-3350SR–

многофункциональные, управляемые коммутаторы, которые поддерживают от 24 до 48 портов 10/100BASE-TX и 2 порта 10/100/1000Мбит/с. Управляемые коммутаторы DES-3226S/3326S предоставляют при объединении в стек возможность подключения до 312 пользователей с помощью каналов связи 10/100BASE-TX и 13 серверов через порты Gigabit Ethernet.

DGS-3312SR – модульный управляемый коммутатор Gigabit Ethernet 3-го уровня, предназначенный для использования в качестве центрального устройства в сетях предприятий среднего размера или в качестве


36

агрегирующего устройства сетей крупных компаний. Он оборудован 4 комбо-портами 1000BASE-T/Mini GBIC (SFP) и 2 слотами расширения. Коммутатор DGS-3312SR позволяет объединить в стек до 12 коммутаторов DES-3226S по топологии «звезда», получив до 288 портов 10/100BASE-TX и 12 портов Gigabit Ethernet, и управлять ими как единым сетевым узлом.

Рисунок 28 Коммутатор DGS-3312SR с модулями расширения

DGS-3224TGR – управляемый коммутатор Gigabit Ethernet 2-го уровня, предназначенный для работы в сетях подразделений или крупных рабочих групп предприятий. Он имеет 20 медных портов 10/100/1000BASE-T плюс 4 комбо порта 10/100/1000BASE-T /Mini GBIC (SFP) для гибкого подключения по меди или оптике к магистрали сети. Поддержка расширенных функций, таких как агрегирование портов, VLAN и очереди приоритетов в дополнение к поддержке резервного источника питания, позволяет подразделению эффективно и безопасно развернуть не имеющую узких мест коммутируемую сеть для интеграции с большой сетью кампуса или предприятия. Производительность внутренней магистрали коммутатора 48Гбит/с

DGS-3324SR –управляемый коммутатор Gigabit Ethernet 3-го уровня с поддержкой технологии стекирования xStack™, предназначенный для объединения серверных массивов или работы в качестве центрального устройства сетей крупных рабочих групп предприятий. Он имеет 20 медных портов 1000BASE-T, 4 комбо-порта 1000BASE-T/Mini GBIC (SFP) для подключения по оптике, 2 порта для стекирования производительностью 10 Гбит/с и поддержку резервного источника питания. Производительность внутренней магистрали коммутатора 88Гбит/с.

DGS-3324SRi – управляемый коммутатор Gigabit Ethernet 3-го уровня семейства xStack с пропускной способностью внутренней магистрали 168 Гбит/с. Он может использоваться либо как мастер-коммутатор стека, либо как автономный коммутатор. DGS-3324SRi имеет 16 портов 1000BASE-T, 8 комбо-портов 1000BASE-T/Mini GBIC (SFP) и 6 портов для стекирования производительностью 10 Гбит/с каждый.

DXS-3326GSR – управляемый коммутатор Gigabit Ethernet 3-го уровня с 20 портами Mini GBIC (SFP), 4 комбо-портами 1000BASE-T/ Mini GBIC (SFP) и 2 портами для стекирования с производительностью 10 Гбит/с каждый, оснащенный 1 слотом расширения для установки дополнительного модуля DEM-420X с 2-мя портами 10GE XFP. Благодаря портам Mini GBIC коммутатор обеспечивает максимальную гибкость при подключении отдельных пользователей или рабочих групп. Высокая производительность центральной коммутационной матрицы (128Гбит/с), система стекирования 10 Гбит/с и гигабитная скорость передачи позволяют строить на базе коммутаторов DXS-


37

3326GSR гибкую, легко управляемую сетевую структуру средних и крупных предприятий.

DXS-3350SR – управляемый коммутатор Gigabit Ethernet 3-го уровня с пропускной способностью внутренней магистрали 176 Гбит/с. Он оборудован 44 портами SFP, 4 комбо-портами 1000BASE-T/SFP, 2 портами для стекирования с производительностью 10 Гбит/с каждый и 1 слотом расширения для установки модуля DEM-420X с 2-мя портами 10GE XFP. Высокая плотность портов, возможность использования разных сред передачи (благодаря встроенным модулям mini-GBIC) и передовая технология стекирования позволяют применять коммутаторы DXS-3350SR для создания комплексных решений для сетей крупных предприятий. Эти коммутаторы могут использоваться также в качестве центральных устройств в операторских сетях Metro Ethernet с целью агрегации трафика кольцевых городских сетей

Рисунок 29 Коммутатор DXS-3350SR

Коммутаторы уровня ядра

Уровень ядра имеет высокую производительность. К коммутаторам этого уровня можно отнести следующие модели:

DGS-3324SR, DGS-3324SRi, DXS-3326GSR, DXS-3350SR – управляемые стекируемые коммутаторы Gigabit Ethernet 3-го уровня с высокопроизводительной внутренней магистралью.

DES-6000/6300 – модульные высокопроизводительные коммутаторы (шасси) 2-го и 3-го уровня соответственно, предназначенные для работы в сетях операторов связи, а также на магистральном уровне сетей крупных предприятий. Коммутаторы обеспечивают высокую плотность портов 10/100/1000Мбит/с, высокую надежность, гарантированное качество обслуживания и производительность операторского класса. В максимальной конфигурации могут обеспечивать до 16 гигабитных портов, и до 128 10/100BaseTX.

DES-6500 – модульный высокопроизводительный коммутатор (шасси) третьего уровня, предназначенный для использования в качестве магистрального коммутатора c высокой плотностью портов в сетях крупных предприятий и операторов связи. DES-6500 имеет 9 слотов расширения и широкий спектр интерфейсных модулей, что позволяет подобрать конфигурацию устройства, наиболее удовлетворяющую конкретным требованиям сети по типу, пропускной способности и плотности портов. Компоненты коммутаторов обладают функцией «горячей замены». Функциональность шасси полностью удовлетворяет требованиям, предъявляемым к устройствам такого уровня. DES-6500 поддерживает широкий выбор функций 2-го и 3-го уровней, необходимых для построения


38

мультисервисных сетей, а также требований по обеспечению надежности и безопасности сети. Производительность внутренней магистрали DES-6500 составляет 160 Гбит/с.

Рисунок 30 Схема на коммутаторах D-Link для сетей предприятия


39

Настройка коммутатора Понятие неуправляемых, управляемых и настраиваемых

коммутаторов Коммутаторы локальной сети можно классифицировать по управлению. Управляемые коммутаторы поддерживают широкий набор функций

управления и настройки, включающие Web-интерфейс управления, интерфейс командной строки (CLI), Telnet, SNMP, TFTP и др. В качестве примера можно привести коммутаторы D-Link DES-3226S, DES-3326SR, DES-3526, DES-3324SR, и др.

Неуправляемые коммутаторы функции управления и настройки не поддерживают. Примером могут служить коммутаторы D-Link серии DxS-10xx.

Настраиваемые коммутаторы занимают промежуточную позицию между ними. Эти коммутаторы позволяют выполнять настройку определенных параметров, но не поддерживают удаленное управление по SNMP и Telnet. Примером таких коммутаторов являются DES-1226G и DGS-1216T/1224T.

Большинство современных управляемых коммутаторов обеспечивают возможность конфигурирования на основе Web, что позволяет использовать в качестве станции управления любой компьютер, оснащенный Web-браузером, независимо от операционной системы.

Также стоит отметить возможность обновления программного обеспечения коммутатора (за исключением неуправляемых). Это обеспечивает более долгий срок службы устройств, так как позволяет добавлять новые функции либо устранять имеющиеся ошибки по мере выхода новых версий ПО, что существенно облегчает и удешевляет использование устройств, новые версии ПО компания D-Link распространяют бесплатно. Сюда же можно включить возможность сохранения настроек коммутатора на случай сбоев с последующим восстановлением или тиражированием, что избавляет администратора от выполнения рутинной работы.

Подключение к коммутатору Перед тем, как начать настройку коммутатора, необходимо установить

физическое соединение между коммутатором и рабочей станцией. Существуют два типа кабельного соединения, используемых для управления коммутатором. Первый тип – через консольный порт (если он имеется у устройства), второй – через порт Ethernet (по протоколу Telnet или через Web-интерфейс). Консольный порт используется для первоначальной конфигурации коммутатора и обычно не требует настройки. Для того чтобы получить доступ к коммутатору через порт Ethernet, устройству необходимо назначить IP-адрес.

При подключении к Ethernet порту коммутатора Ethernet совместимых серверов, маршрутизаторов или рабочих станций, используется четырехпарный кабель UTP категории 5, 5е или 6 для Gigabit Ethernet. Поскольку коммутаторы D-Link поддерживают функцию автоматического


40

определения полярности (MDI/MDI-X), можно использовать любой тип кабеля (прямой или кроссовый).

Рисунок 31 Подключение компьютера к коммутатору

Для подключения к другому коммутатору так же можно использовать любой четырехпарный кабель UTP категории 5, 5е, 6 при условии, что порты коммутатора поддерживают автоматическое определение полярности. В противном случае надо использовать кроссовый кабель.

Рисунок 32 Подключение коммутатора к обычному (не -Uplink) порту коммутатора с помощью

прямого или кроссового кабеля

Правильность подключения поможет определить светодиодная индикация порта. Если соответствующий индикатор горит, то связь между коммутатором и подключенным устройством установлена. Если индикатор не горит, возможно, что не включено питание одного из устройств или возникли проблемы с сетевым адаптером подключенного устройства, или имеются неполадки с кабелем. Если индикатор загорается и гаснет, возможно, есть проблемы с автоматическим определением скорости и режимом работы (дуплекс / полудуплекс). (За подробным описание сигналов индикаторов необходимо обратиться к руководству пользователя коммутатора конкретной модели).


41

Подключение к локальной консоли коммутатора

Управляемые коммутаторы D-Link имеют консольный порт, который с помощью кабеля стандарта RS-232, входящему в комплект поставки, подключается к последовательному порту компьютера. Подключение по консоли иногда называют ‘Out-of-Band’ подключением. Это означает, что консоль использует отличную от обычного сетевого подключения схему (не использует полосу пропускания портов Ethernet). Она может использоваться для установки и управления коммутатором, даже если нет подключения к сети.

После подключения к консольному порту необходимо следует запустить эмулятор терминала (например, программу HyperTerminal в Windows). В программе следует установить следующие параметры подключения, которые указаны в документации к устройству, как правило:

• Baud rate: 9,600 • Data width: 8 bits • Parity: none • Stop bits: 1 • Flow Control: none

При соединении коммутатора с консолью появится следующее окно

(только для коммутаторов, имеющих поддержку интерфейса командной строки CLI):

Рисунок 33 Первоначальное окно консоли

Более старые модели коммутаторов, например, DHS-3226 имеют систему меню (см. Рисунок 34). Настройка коммутатора с помощью системы меню рассматриваться не будет, поскольку все современные модели коммутаторов поддерживают настройку с помощью интерфейса командной строки.

Рисунок 34 Система меню коммутатора


42

Если окно не появилось, нажмите Ctrl+R , чтобы его обновить. Все управляемые коммутаторы могут иметь защиту от доступа

неавторизованных пользователей, поэтому после загрузки устройства может появиться приглашение ввести имя пользователя и пароль. По умолчанию имя пользователя и пароль в коммутуторах D-Link не определены, поэтому нажмите дважды клавишу Enter. После этого в командной строке появится приглашение, например DES-3800:admin#.

Теперь можно вводить команды.

Рисунок 35 Строка приглашения CLI коммутатора


43

Начальная конфигурация коммутатора

Вызов помощи по командам

Существует большое количество команд CLI. Команды бывают сложные, многоуровневые, требующие ввода большого количества параметров, и простые, состоящие из одного параметра. Наберите в командной строке «?» и нажмите клавишу «Enter» для того, чтобы вывести на экран список всех команд данного уровня.

Рисунок 36 Результат выполнения команды “?”

Используйте знак вопроса «?» так же в том случае, если Вы не знаете параметров команды. Например, если надо узнать возможные варианты синтаксиса команды config, введите в командной строке:

DES-3800:admin#config Далее можно ввести « ?» (пробел + «?») или нажать кнопку Enter. На

экране появятся все возможные завершения команды. Также можно воспользоваться кнопкой TAB, которая будет последовательно выводить на экран все возможные завершения команды.


44

Рисунок 37 Результат вызова помощи о возможных параметрах команды config


45

Базовая конфигурация коммутатора

Шаг 1. Обеспечение защиты коммутатора от доступа неавторизованных пользователей.

Самым первым шагом при создании конфигурации коммутатора является обеспечение его защиты от доступа неавторизованных пользователей. Самая простая форма безопасности – создание учетных записей для пользователей с соответствующими правами. Создавая учетную запись для пользователя, можно задать один из двух уровней привилегий: Admin или User. Учетная запись Admin имеет наивысший уровень привилегий.

Создать учетную запись пользователя можно с помощью следующих команды “create account admin/user <username>”

(знак «/» означает ввод или одного параметра, или другого) Далее появится приглашение для ввода пароля и подтверждения ввода: Enter a case-sensitive new password: Enter the new password again for confirmation: Максимальная длина имени пользователя и пароля от 0 до 15 символов. После успешного создания учетной записи на экране появится слово

Success. Ниже приведен пример создания учетной записи с уровнем привилегий

«Admin» и именем пользователя (Username) «dlink»:

Рисунок 38 Создание учетной записи

Изменить пароль для пользователя с существующей учетной записью, можно с помощью команды:

DES-3800:admin# config account <username>

Рисунок 39 Изменение учетной записи dlink

Проверить созданную учетную запись можно с помощью команды: DES-3800:admin# show account


46

Рисунок 40 Просмотр созданных учетных записей

Удалить учетную запись можно, выполнив команду delete account <username>.

Рисунок 41 Удаление учетной записи dlink

При создании учетной записи администратора следует запоминать заданные имя и пароль. Утеря администраторского пароля потребует обращения в сервисный центр компании D-Link!

Шаг 2. Настройка IP-адреса.

Для того чтобы коммутатором можно было удаленно управлять через web-интерфейс или Telnet, ему необходимо назначить IP-адрес из адресного пространства сети, в которой планируется его использовать. IP- адрес может быть задан автоматически с помощью протоколов DHCP или BOOTP или статически, с помощью следующих команд CLI:

DES-3800:admin# config ipif System dhcp

DES-3800:admin# config ipif System ipaddress xxx.xxx.xxx.xxx/yy

где xxx.xxx.xxx.xxx – IP-адрес, yy – маска в CIDR формате, например /24 или /30), System- имя управляющего интерфейса коммутатора.

Рисунок 42 Изменение IP-адреса

Шаг 3. Настройка параметров портов коммутатора.


47

По умолчанию порты всех коммутаторов D-Link поддерживают автоматическое определение скорости и режима работы (дуплекса). Но может возникнуть ситуация, что автоопределение будет действовать некорректно и потребуется ручная установка скорости и режима.

Для установки параметров портов на коммутаторе D-Link можно воспользоваться командой config ports.

Пример установки скорости равной 10Мбит/с, дуплексного режима работы, обучения и состояния для портов коммутатора с 1 по 3 (см. Рисунок 43).

Рисунок 43 Конфигурирование портов коммутатора

Команда show ports <список портов> выведет на экран информацию о настройках портов коммутатора. Ниже показан результат выполнения команды show ports.

Рисунок 44 Вывод команды "show ports" для портов 1-5 и 8

Шаг 4. Сохранение текущей конфигурации коммутатора в энергонезависимую память NVRAM. Для этого необходимо выполнить команду save.

Рисунок 45 Сохранение конфигурации в NVRAM

Шаг 5. Перезагрузка коммутатора выполняется с помощью команды reboot.

Рисунок 46 Перезагрузка коммутатора


48

Сброс настроек коммутатора к заводским установкам выполняется с помощью команды reset.

Рисунок 47 Сброс настроек коммутатора

Шаг 6. Просмотр конфигурации коммутатора. Получить информацию о коммутаторе (посмотреть его текущую

конфигурацию) можно с помощью команды show switch.

Рисунок 48 Просмотр информации о глобальных настройках коммутатора


49

Подключение к Web-интерфейсу управления коммутатора

Коммутаторы D-Link позволяют выполнять настройки через Web-интерфейс управления, который состоит из дружественного пользовательского графического интерфейса (GUI), запускающегося на клиенте и НТТР-сервера, запускающегося на коммутаторе.

Web-интерфейс является альтернативой командной строки и обеспечивает графическое представление коммутатора в режиме реального времени и подробную информацию о состоянии портов, модулей, их типе и т.д.

Связь между клиентом и сервером обычно осуществляется через TCP/IP соединение с номером порта НТТР равным 80.

Для того чтобы подключиться к НТТР серверу на коммутаторе, используя интерфейс командной строки, необходимо выполнить следующие шаги:

Назначить коммутатору IP-адрес из диапазона адресов Вашей сети, используя команду:

DES-3800:admin #config ipif System ipaddress xxx.xxx.xxx.xxx/yy , где xxx.xxx.xxx.xxx – IP-адрес, yyy.yyy.yyy.yyy – маска подсети Проверить правильность настройки IP-адреса коммутатора с помощью

команды: DES-3800:admin#show ipif На рабочей станции запустить Web-браузер, в командной строке

которого ввести IP-адрес коммутатора, появится соответствующая страничка (см. Рисунок 49)

Рисунок 49 Web-интерфейс коммутатора


50

Дополнительные функции коммутаторов Так как коммутатор представляет собой довольно сложное

вычислительное устройство, имеющее несколько процессорных модулей, то помимо выполнения основной функции передачи кадров с порта на порт по алгоритму моста, вполне логично включить в него дополнительные функции, полезные при построении современных, расширяемых, надежных и гибких сетей. Большинство современных коммутаторов, независимо от производителя, поддерживают множество дополнительных возможностей, отвечающих общепринятым стандартам. Среди них самые распространенные и наиболее используемые сегодня, это:

• VLAN; • Семейство протоколов Spanning Tree IEEE 802.1d, 802.1w, 802.1s; • Статическое и динамическое по протоколу IEEE 802.3ad LACP агрегирование каналов Ethernet;

• агрегирование каналов по протоколу IEEE 802.3ad LACP; • Сегментация трафика и обеспечение качества обслуживания QoS; • Функции обеспечения безопасности, включая аутентификацию

IEEE 802.1х и функцию Port Security; • Протоколы группового вещания; • SNMP – управление и др.


51

Виртуальные локальные сети VLAN Всем коммутируемым сетям присуще одно ограничение. Поскольку

коммутатор является устройством канального уровня, он не может знать, куда направлять широковещательные пакеты протоколов сетевого уровня. Хотя трафик с конкретными адресами (соединения "точка-точка") изолирован парой портов, широковещательные пакеты передаются во всю сеть (на каждый порт). Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) - организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN).

Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время, внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.

VLAN обладают следующими преимуществами: • Гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети;

• VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;

• VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

Типы VLAN

В коммутаторах могут использоваться три типа VLAN: • VLAN на базе портов • VLAN на базе MAC-адресов. • VLAN на основе меток в дополнительном поле кадра – стандарт

IEEE 802.1Q


52

VLAN на базе портов

При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную.

Рисунок 50 VLAN на базе портов

Основные характеристики VLAN на базе портов: Применяются в пределах одного коммутатора. Если необходимо

организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи.

Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID) .

Возможность изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети.

Каждый порт может входить только в один VLAN. Поэтому для объединения виртуальных подсетей – как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень (третий уровень модели ISO/OSI). Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки пакетов из одной подсети в другую, при этом IP адреса подсетей должны быть разными (см.Рисунок 51).


53

Рисунок 51 Объединение VLAN на базе портов, используя маршрутизатор

Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору. Это приводит к дополнительным расходам на покупку кабелей и маршрутизатор, плюс порты коммутатора используются очень расточительно. Решить данную проблему можно двумя способами: использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN или использовать коммутаторов уровня 3.

VLAN на базе MAC-адресов

Следующий способ, который используется для образования виртуальных сетей, основан на группировке МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группировки портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Широковещательные домены на базе MAC-адресов, позволяют физически перемещать станцию (подключать к любому порту коммутатора), позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации

Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса «наглухо зашиты» в оборудование, и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.


54

Рисунок 52 VLAN на базе МАС-адресов

VLAN на базе меток – стандарт IEEE 802.1Q

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам коммутатора и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток – тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети.

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением, по сравнению с ранее описанными подходами. Его основные преимущества:

Гибкость и удобство в настройке и изменении – можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Способность добавления меток позволяет VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению.

Позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет


55

многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, таким образом, автоматически предотвращается возникновение петель в сети.

Способность VLAN 802.1Q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки.

Устройства разных производителей, поддерживающие стандарт могут работать вместе, не зависимо от какого-либо фирменного решения.

Не обязательно применять маршрутизаторы. Чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN, что обеспечит возможность обмена трафиком. Например, для организации доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение – сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q.

В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще остальных типов, поэтому остановимся подробно на принципах работы такой схемы и вариантов, которые можно с ее помощью организовать.

Определения IEEE 802.1Q

Tagging (Маркировка пакета) – процесс добавления информации о принадлежности к IEEE 802.1Q VLAN в заголовок кадра.

Untagging – процесс извлечения информации 802.1Q VLAN из заголовка пакета.

Ingress port (Входной порт) - порт коммутатора, на который поступают пакеты, и при этом принимается решение о принадлежности к VLAN.

Egress port (Выходной порт) – порт коммутатора, с которого пакеты передаются на другие сетевые устройства – коммутаторы или рабочие станции, и соответственно, на нем должно приниматься решение о маркировке.

Любой порт может быть настроен как tagged или как untagged. Функция

untagging(демаркирование) позволяет работать с теми сетевыми устройствами VLAN, которые не понимают меток в заголовке кадра Ethernet. Функция tagging(маркирование) позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q, и позволяет нормально функционировать протоколу Spanning Tree.

Продвижение пакетов VLAN 802.1Q

Решение о продвижении кадра принимается на основе 3 следующих видов правил:

• Правила входящего трафика - правила классификации получаемых кадров относительно принадлежности к VLAN;

• Правила продвижения между портами - принимается решение о продвижении или отбрасывании кадра;


56

• Правила исходящего трафика - определяется, нужно ли маркировать кадр перед передачей его или нет.

Рисунок 53 Продвижение кадров IEEE 802.1Q

Теги IEEE 802.1Q VLAN

Рассмотрим структуру кадра Ethernet с добавленным маркером IEEE 802.1Q (см.Рисунок 54). К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола IEEE 802.1Q/802.1p. Остальные 2 байта содержат следующую информацию:

• 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7-наивысший приоритет), которые используются в стандарте IEEE 802.1р;

• 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;

• 12-ти битный идентификатор VLAN - VLAN ID (VID), определяющий, какой VLAN принадлежит трафик. Поскольку под


57

поле VID отведено 12 бит, то можно определить 4096 уникальных VLAN.

Добавление тега в заголовок кадра делает кадр длиннее на 4 байта.

Вся содержащаяся в исходном кадре информация сохраняется.

Рисунок 54 Маркированный кадр Ethernet

Поскольку сформированный кадр несколько длиннее исходного, то должна быть заново вычислена контрольная сумма Cyclic Redundancy Check (CRC).

Port VLAN ID

Маркированные кадры (несущие информацию о IEEE 802.1Q VID) могут быть переданы от одного устройства, совместимого со стандартом IEEE 802.1Q, к другому с сохранением информации о принадлежности к VLAN. Это позволяет создавать несколько VLAN на многих сетевых устройствах (в действительности, на всей сети - если все сетевые устройства поддерживают стандарт IEEE 802.1Q).

Однако не все устройства поддерживают стандарт IEEE 802.1Q. Такие устройства называются tag-unaware (не поддерживающие тегирование). Устройства, совместимые с IEEE 802.1Q, называются tag-aware (поддерживающие тегирование).

До принятия стандарта IEEE 802.1Q VLAN использовались VLAN на основе портов и MAC-адресов. При продвижении кадров они полагались на Port VLAN ID (PVID) - VLAN-идентификатор порта. В соответствии с этим, принятому на данный порт кадру должен быть присвоен PVID этого порта, и далее кадр должен быть передан на порт, который соответствует адресу назначения кадра (найденному в адресной таблице коммутатора). Если PVID порта, принявшего кадр, отличается от PVID порта назначения, то коммутатор отбрасывает кадр.

На одном коммутаторе различные PVID означают различные VLAN (напоминаем, что две VLAN не могут взаимодействовать между собой без маршрутизатора). Таким образом, VLAN на основе портов не могут выходить за пределы данного коммутатора (или стека коммутаторов).


58

В стандарте IEEE 802.1Q портам, для использования в пределах одного коммутатора также назначаются PVID. Если на коммутаторе не настроены VLAN, то все порты по умолчанию входят в одну VLAN с PVID = 1.

Коммутаторы, поддерживающие тегирование, должны хранить таблицу, связывающую идентификаторы портов PVID коммутатора с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторов VID, сколько позволяет память коммутатора, используемая для хранения таблицы VLAN.

Немаркированным кадрам присваивается PVID порта, на который они были приняты. PVID определят, в какую VLAN коммутатор направит немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт.

Маркированные кадры продвигаются в соответствии с идентификатором VID, содержащемся в кадре Ethernet. Коммутатор сравнивает VID кадра, который нужно передать, с VID порта, на который нужно передать пакет. Если VID порта и кадра различаются, то коммутатор отбросит пакет. Если порт определен, как входящий в несколько VLAN, то сегмент, подключенный к данному порту, может принимать маркированные кадры от нескольких VLAN в сети.

Поскольку существуют PVID для немаркированных пакетов и VID для маркированных пакетов, то в одной сети можно использовать как устройства, поддерживающие, так и не поддерживающие тегирование.

Рассмотрим пример (см.Рисунок 55): Порт 1 является немаркированным потом VLAN 1 и имеет PVID=1. Если кадр нужно передать на другой порт, например Порт 3 (найденный обычным способом в таблице коммутатора), то коммутатор, прежде чем передать кадр, проверяет, входит ли Порт 3 в VLAN 1, и может ли соответственно получать кадры, предназначенные для этого VLAN. Так как порт 3 является маркированным портом VLAN 1, то кадр на этот порт будет передан. Таким образом, Порт 1 может передавать и принимать кадры для VLAN 1, т.к. его PVID=1. Порт 3, у которого PVID=3 может принимать кадры из VLAN 1, поскольку входит в этот VLAN, но он не может передавать кадры в VLAN 1, до тех пор, пока его PVID не будет установлен в 1.


59

Рисунок 55 Пример работы VLAN 802.1Q

Поскольку некоторые сетевые устройства могут не поддерживать тегирование, то перед передачей пакета устройство, поддерживающее тегирование, должно принять решение – нужно ли добавить тег в передаваемый пакет или нет? Если передающий порт подключен к не поддерживающему тегирование устройству, то пакет должен быть немаркированным. Если же передающий порт подключен к поддерживающему тегирование устройству, то пакет должен быть маркированным.

Tagged и Untagged

Каждый порт устройства, поддерживающего стандарт IEEE 802.1Q, может быть настроен как tagged (маркированный) или как untagged (немаркированный).

Порт, настроенный как tagged, будет добавлять номер VID, приоритет и другую информацию о VLAN в заголовок всех проходящих через него кадров. Если кадр приходит на порт уже маркированным, то данный кадр не изменяется, и таким образом сохраняется вся информация о VLAN. Информация о VLAN в теге может быть использована другими сетевыми устройствами, поддерживающими стандарт IEEE 802.1Q, при принятии решения о продвижении кадра.

Порт, настроенный как untagged, будет извлекать тег 802.1Q из всех проходящих через него кадров. Если же кадр не содержит тег VLAN 802.1Q, то порт не изменяет такой кадр. Таким образом, все принятые и переданные этим портом кадры не будут содержать информацию о VLAN (помните, что PVID используется только внутри коммутатора). Функция untagging используется при передаче кадров от сетевых устройств, поддерживающих стандарт IEEE 802.1Q, на устройства, не поддерживающие этот стандарт.


60

Рисунок 56 Немаркированный входящий кадр

Рисунок 57 Маркированный входящий кадр

Рисунок 58 Немаркированный кадр, выходящий через маркированный и немаркированный порты


61

Рисунок 59 Маркированный пакет, выходящий через маркированный и немаркированный порты

Фильтрация входящего трафика

Порт коммутатора, на который поступают кадры из сети и который должен принять решение о принадлежности кадра конкретной VLAN, называется ingress port (входным портом). При включении на порту функции фильтрации входящего трафика коммутатор проверяет кадр на наличие информации о VLAN и на ее основании принимает решение о продвижении кадра.

Если кадр содержит информацию о VLAN, коммутатор сначала определяет, является ли входной порт членом данной VLAN. Если нет, то кадр отбрасывается. Если да, то определяется, является ли порт назначения членом данной VLAN. Если нет, то кадр отбрасывается. Если же порт назначения входит в данную VLAN, то он передает кадр в подключенный к нему сегмент сети.

Если кадр не содержит в заголовке информацию о VLAN, то входной порт добавляет в заголовок кадра тег с идентификатором VID, равным собственному PVID (если порт является маркированным - tagged). Затем коммутатор определяет, принадлежат ли входной порт и порт назначения одной VLAN (имеют одинаковые VID). Если нет, кадр отбрасывается. В противном случае порт назначения передает кадр в подключенный к нему сегмент сети.

Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания на стадии приема кадров, не входящих в ту же VLAN, что и входной порт.


62

Создание VLAN с помощью команд CLI

Изначально коммутатор настраивает одну VLAN с VID = 1, называемую DEFAULT_VLAN. Заводские установки по умолчанию назначают все порты коммутатора в DEFAULT_VLAN. Перед созданием новой VLAN удалите из любых других уже созданных VLAN (в том числе DEFAULT_VLAN) все порты, которые требуется сделать членами новой VLAN.

Ниже приведены команды CLI и их синтаксис, используемые при создании, удалении и управлении виртуальными локальными сетями (см. Таблица 1).

Таблица 1 Команды для настройки VLAN

Команда Параметры Описание create vlan <vlan_name 32>

tag <vlanid 1-4094> advertisement

Создать VLAN

delete vlan <vlan_name 32> Удалить VLAN config vlan

<vlan_name 32> add [tagged|untagged|forbidden] advertisement [enable|disable]

Настроить параметры VLAN

config vlan

<vlan_name 32> delete <portlist>

Исключить заданные порты из VLAN

config gvrp

<portlist> | all state [enable | disable] ingress_checking [enable | disable] acceptable_frame [tagged_only | admit_all] pvid <vlanid 1-4094>}

Настроить параметры GVRP

enable gvrp Активизировать GVRP disable gvrp Отключить GVRP show vlan <vlan_name 32> Показать созданные VLAN

и их настройки show gvrp <portlist> Показать настройки GVRP enable double_vlan

Активизировать QinQ VLAN

disable double_vlan

Отключить QinQ VLAN

create double_vlan

<vlan_name 32> spvid <vlanid 1-4094> tpid <hex 0x0-0xffff>

Создать QinQ VLAN

config double_vlan

<vlan_name> add [uplink | access] delete <portlist> tpid <hex 0x0-0xffff>

Настроить QinQ VLAN

show double_vlan

<vlan_name> Показать созданные QinQ VLAN и их настройки

delete double_vlan

<vlan_name> Удалить QinQ VLAN

Шаг 1. Удаление портов 1-5 из DEFAULT_VLAN командой “config vlan default delete 1-5”

Рисунок 60 Удаление портов из VLAN


63

Шаг 2.Создание новой VLAN на коммутаторе. Создать VLAN с именем v1 на коммутаторе и идентификатором VID

равным 2 командой “create vlan v1 tag 2”

Рисунок 61 Создание VLAN

Шаг 3. Добавить дополнительные порты в ранее сконфигурированную VLAN. Добавить порты коммутатора с 1 по 5 в VLAN v1 сделать порты

маркированными командой “config vlan v1 add tagged 1-5”

Рисунок 62 Добавление портов в VLAN

Шаг 4. Проверка правильности настройки VLAN на коммутаторе.

Рисунок 63 Просмотр информации о VLAN

Следует обратить внимание, что порты 1-5 являются членами созданной виртуальной сети, что видно по полю «Member ports», при этом они являются маркированными, поскольку указаны в списке «Current Tagged ports».


64

Асимметричные VLAN

С целью более эффективного использования разделяемых ресурсов,

таких как серверы или Интернет-шлюзы, в программном обеспечении некоторых коммутаторов D-Link 2-го уровня реализована поддержка Asymmetric VLAN. Асимметричные виртуальные локальные сети позволяют клиентам, принадлежащих разным VLAN и не поддерживающим тегирование 802.1Q взаимодействовать с сервером (или нескольким серверам) с через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции «Асимметричные VLAN» на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции останутся полностью изолированными друг от друга. Например, асимметричные VLAN могут быть настроены таким образом, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам (см.Рисунок 64). Клиенты смогут отправлять и получать данные через порт коммутатора, подключенный к почтовому серверу, но прием и передача данных через остальные порты будет для них запрещена.

Рисунок 64 Пример использования асимметричных VLAN

Основное различие между базовым стандартом IEEE 802.1Q VLAN(или симметричными VLAN) и асимметричными VLAN заключается в том, как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако, использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении. В примере, рассмотренном выше, VLAN, созданная для порта, подключенного к почтовому серверу, имела в своем распоряжении полную таблицу адресов, таким образом, любой адрес мог быть отображен на ее порт (PVID).


65

При использование асимметричных VLAN существует ограничение - протокол IGMP Snooping не поддерживается.

При активизации асимметричных VLAN, уникальный PVID назначается

всем портам, создавая отдельную VLAN для каждого порта. Каждый порт при этом, может получать кадры от VLAN по умолчанию. Асимметричные VLAN по умолчанию отключены.

Ниже приведены команды для конфигурирования асимметричных VLAN на коммутаторе с помощью CLI (см. Таблица 2).

Таблица 2 Команды для настройки Asymmetric VLAN

Команда Параметры Описание enable asymmetric_vlan Глобально активизировать асимметричные

VLAN. Уникальный PVID назначается всем портам, создавая отдельную VLAN для каждого порта.

disable asymmetric_vlan

Глобально отключить асимметричные VLAN. Asymmetric VLAN отключены по умолчанию

show asymmetric_vlan Просмотр статуса Asymmetric VLAN


66

Пример 1. Конфигурирование асимметричных VLAN в пределах одного коммутатора

Рисунок 65 Асимметричные VLAN в пределах одного коммутатора

VLAN V1: порты 1-8, untagged Разделяемые серверы или Интернет-шлюз VLAN V2: порты 9-16, untagged Пользователи VLAN2 (рабочие станции или коммутатор) VLAN V3: порты 17-24, untagged Пользователи VLAN3 (рабочие станции или коммутатор) Требуется реализовать следующую схему:

1. Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу в VLAN V1;

2. Пользователи VLAN V2 и V3 могут иметь доступ к Интернет-шлюзу для доступа к Интернет;

3. Виртуальные локальные сети V2 и V3 изолированы друг от друга. Шаг 1. Активизировать асимметричные VLAN на коммутаторе командой “enable asymmetric_vlan”

Рисунок 66 Включение Asymmetric VLAN


67

Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе командой “show asymmetric_vlan”

Рисунок 67 Просмотр статуса Asymmetric VLAN

Шаг 3. Создание новых VLAN V2 и V3 на коммутаторе командой “create vlan”


Шаг 4. Добавить порты в созданные VLAN. Добавить порты коммутатора с 1 по 16 в VLAN V2, добавить порты с 1-8 и 17-24 в VLAN V3. Сделать порты немаркированными командой “config vlan”

Рисунок 69 Добавление портов в созданные VLAN

Шаг 5. Настроить протокол GVRP (Group VLAN Registration Protocol) на коммутаторе и включить входную фильтрацию на портах каждой VLAN командой “config gvrp”


68

Рисунок 70 Конфигурирование GVRP


69

Пример 2. Конфигурирование асимметричных VLAN на двух автономных коммутаторах

Рисунок 71 Асимметричные VLAN в пределах двух коммутаторов

VLAN V1: коммутатор 1 порты 1-4, коммутатор 2 порты 1-4, untagged Разделяемые серверы или Интернет-шлюз Коммутатор 1 порты 5-8, коммутатор 2 порты 5-8, tagged Порты используются в качестве восходящих и нисходящих каналов

связи с другими коммутаторами VLAN V2: коммутатор 1 порты 9-16, коммутатор 2 порты 9-16, untagged Пользователи VLAN2 (рабочие станции или коммутатор) VLAN V3: коммутатор 1 порты 17-24, коммутатор 2 порты 17-24,

untagged Пользователи VLAN3 (рабочие станции или коммутатор) Требуется реализовать следующую схему:

1. Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу или Интернет-шлюзу в VLAN V1;

2. Виртуальные локальные сети V2 и V3 изолированы друг от друга.


70

Настройки для коммутаторов (поскольку наша схема симметрична,настройки будут идентичны на обоих коммутаторах).

Шаг 1. Активизировать асимметричные VLAN на коммутаторе командой “enable asymmetric_vlan”

Рисунок 72 Включение Asymmetric VLAN

Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе командой “show asymmetric_vlan”

Рисунок 73 Просмотр статуса Asymmetric VLAN

Шаг 3. Создание новых VLAN V2 и V3 на коммутаторе командой “create vlan”


Шаг 4. Сделать порты 5-8 маркированными во всех трех VLAN.

Рисунок 75 Добавление маркированных портов в VLAN


71

Шаг 5. Добавить порты в VLAN V2 и V3 на коммутаторе. Добавить порты коммутатора 1-4 и 9-16 в VLAN V2, добавить порты 1-4

и 17-24 в VLAN V3. Сделать порты немаркированными.

Рисунок 76 Конфигурирование VLAN v2 и v3


72

Объединение портов и создание высокоскоростных сетевых магистралей

В настоящее время для повышения надежности и производительности

каналов связи в распоряжении интеграторов и сетевых администраторов имеется целый набор протоколов и функций. Наиболее распространенным является создание резервных связей между коммутаторами на основе двух технологий:

• Резервирование соединений с помощью протоколов семейства Spanning Tree;

• Балансировка нагрузки, обеспечивающая параллельную передачу данных по всем альтернативным соединениям с помощью механизм агрегирования портов.

Рассмотрим подробно каждый способ. Агрегирование портов (Port Trunking) - это объединение

нескольких физических каналов в одну логическую магистраль (иногда используется термин Link Aggregation). Используется для объединения вместе нескольких физических портов с целью образования высокоскоростного канала передачи данных, позволяет активно задействовать избыточные альтернативные связи между двумя коммутаторами в локальных сетях.

В отличие от протокола STP (Spanning Tree – протокол покрывающего дерева), при агрегировании физических каналов все избыточные связи остаются в рабочем состоянии, а имеющийся трафик распределяется между ними для достижения баланса нагрузки. При отказе одной из линий, входящих в такой логический канал, трафик распределяется между оставшимися линиями.

Рисунок 77 Агрегированные каналы связи между коммутаторами


73

Включенные в агрегированный канал порты называются членами группы. Один из портов в группе выступает в качестве «связующего». Поскольку все члены группы в агрегированном канале должны быть настроены для работы в одинаковом режиме, все изменения настроек, произведенные по отношению к «связующему» порту, относятся ко всем членам группы. Таким образом, для настройки портов в группе необходимо только настроить «связующий» порт.

Важным моментом при реализации объединения портов в агрегированный канал является распределение трафика по ним. Если пакеты одного сеанса будут передаваться по разным портам агрегированного канала, то может возникнуть проблема на более высоком уровне протокола OSI. Например, если два или более смежных кадров одного сеанса станут передаваться через разные порты агрегированного канала, то из-за неодинаковой длины очередей в их буферах может возникнуть ситуация, когда из-за неравномерной задержки передачи кадра, более поздний кадр обгонит своего предшественника. Поэтому в большинстве реализаций механизмов агрегирования используются методы статического, а не динамического распределения кадров по портам - закрепление за определенным портом агрегированного канала потока кадров определенного сеанса между двумя узлами. В этом случае все кадры будут проходить через одну и ту же очередь и их последовательность не изменится. Обычно при статическом распределении выбор порта для конкретного сеанса выполняется на основе выбранного алгоритма агрегирования портов, т.е. на основании некоторых признаков поступающих пакетов. В коммутаторах D-Link существует 6 алгоритмов агрегирования портов:

• mac_source – МАС-адрес источника; • mac_destination – МАС-адрес назначения; • mac_source_dest - МАС-адрес источника и назначения; • ip_source – IP-адрес источника; • ip_destination – IP-адрес назначения; • ip_source_dest – IP-адрес источника и назначения.


74

Рисунок 78 Распределение потоков данных по каналам агрегированной линии связи при

использовании алгоритма mac_source_dest

Агрегированные линии связи можно организовать с любым другим коммутатором, поддерживающим потоки данных точка-точка по одному порту агрегированного канала.

Объединение каналов следует рассматривать как вариант настройки сети, используемый преимущественно для соединений «коммутатор-коммутатор» или «коммутатор – файл-сервер», требующих более высоких скорости передачи, чем может обеспечить одиночная линия связи. Также эту функцию можно применять для повышения надежности важных линий. В случае повреждения линии связи объединенный канал быстро перенастраивается (не более чем за 1 с), а риск дублирования и изменения порядка кадров незначителен.

Программное обеспечение коммутаторов D-Link DES-3226S, DES-3526, DES-3350SR, DGS-3324SR и других поддерживает два типа агрегирования каналов связи: статическое и динамическое. При статическом агрегировании каналов (установлено по умолчанию), все настройки на коммутаторах выполняются вручную. Динамическое агрегирование каналов основано на спецификации IEEE 802.3ad, которая использует протокол контроля агрегированных линий связи (Link Aggregation Control Protocol) для того, чтобы проверять конфигурацию каналов и направлять пакеты в каждую из физических линий. Кроме этого, протокол LACP описывает механизм добавления и изъятия каналов из единой линии связи. Для этого, при настройке на коммутаторах агрегированного канала связи, соответствующие порты одного коммутатора должны быть сконфигурированы как «активные», а другого коммутатора как «пассивные». «Активные» порты LACP выполняют


75

обработку и рассылку его управляющих кадров. Это позволяет устройствам, поддерживающим LACP, договориться о настройках агрегированного канала и иметь возможность динамически изменять группу портов - добавлять или исключать из нее порты. «Пассивные» порты обработки управляющих кадров LACP не выполняют.

Стандарт IEEE 802.3ad применим для всех типов Ethernet-каналов, и с его помощью, поэтому можно строить даже многогигабитные линии связи, состоящие из нескольких каналов Gigabit Ethernet (до 8 интерфейсов в одной группе).


76

Создание агрегированного канала с помощью команд CLI

Ниже приведены команды, необходимые для объединения портов Ethernet (см.Таблица 3).

Таблица 3 Команды для настройки Link Aggregation

Команда Параметры Описание create link_aggregation

group_id <value> {type[lacp/static]}

Создать агрегированный канал, динамически или статически

delete link_aggregation

group_id <value>

Удалить агрегированный канал

config link_aggregation

group_id <value> master_port <port> ports <portlist> state [enabled|disabled]

Настроить параметры агрегированного канала

config link_aggregation algorithm

mac_source mac_destination mac_source_dest ip_source ip_destination ip_source_dest

Задать алгоритм агрегирования

show link_aggregation

group_id <value 1-32> algorithm

Проверка правильности настроек агрегированного канала

config lacp_ports <portlist> mode [active|passive] Настройка портов LACP show lacp_ports {<portlist>} Проверка правильности настроек

портов LACP


77

Пример 1. Статическое агрегирование каналов

Рисунок 79 Cтатическое агрегирование каналов

Шаг 1. Создание группы агрегированного канала на коммутаторе А командой “create link_aggregation group_id 2 type static”.

Рисунок 80 Создание группы агрегированного канала

Шаг 2. Задать алгоритм агрегирования портов, распределяющий трафик по портам агрегированного канала на основе для МАС-адреса источника командой “config link_aggregation algorithm mac_source”

Рисунок 81 Задание алгоритма агрегирования

Шаг 3. Настройка созданной группы. Включить порты 2, 4, 6 и 8 коммутатора А в группу агрегированного канала 1, порт 2 сделать «связующим» портом командой “config link_aggregation group_id 1 master_port 2 ports 2,4,6,8 state enable”

Рисунок 82 Конфигурирование созданной группы на коммутаторе А


78

Шаг 4. Просмотр конфигурации группы агрегированного канала на коммутаторе А командой “show link_aggregation“

Рисунок 83 Просмотр настроенных агрегированных каналов

Шаг 5. Повторить шаги 1 и 2 для коммутатора В.

Шаг 6. Настройка созданной группы на коммутаторе В. Включить порты 1, 3, 5 и 7 коммутатора В в группу агрегированного канала 1, порт 3 сделать «связующим» портом командой “config link_aggregation group_id 1 master_port 1 ports 1,3,5,7 state enable”

Рисунок 84 Конфигурирование созданной группы на коммутаторе B


79

Пример 2. Создание группы агрегированного канала в соответствии со стандартом IEEE 802.3ad4

Рисунок 85 Создание группы агрегированного канала в соответствии

Шаг 1. Создание 2-х групп (с коммутатором В и коммутатором С) агрегированных каналов на коммутаторе А командой “create link_aggregation group 1 type LACP”

Рисунок 86 Создание двух агрегированных каналов

Шаг 2. Задать алгоритм агрегирования портов, распределяющий трафик по портам агрегированного канала на основе для МАС-адреса источника и назначения командой “config link_aggregation algorithm mac_source_dest”

Рисунок 87 Задание алгоритма агрегирования

Шаг 3. Настройка созданных групп на коммутаторе А. Включить порты 1-4 в группу агрегированного канала 1, порты 5-8 сделать членами группы 2

4 Для того чтобы использовать протокол LACP, оба устройства должны поддерживать стандарт IEEE

802.3ad.


80

командой “config link_aggregation group_id 1 master_port 1 ports 1-4 state enable”

Рисунок 88 Конфигурирование двух созданных групп на коммутаторе А

Шаг 4. Задание портам 1-8 коммутатора А режима Active командой “config lacp_port 1-8 mode active”

Рисунок 89 Конфигурирование портов коммутатора А

Шаг 5. Просмотр конфигурации группы агрегированного канала на коммутаторе А командой “show link_aggregation”

Рисунок 90 Просмотр настроенных агрегированных каналов на коммутаторе А

Шаг 6. Просмотр режимов работы портов LACP на коммутаторе А командой “show lacp_port 1-8”


81

Рисунок 91 Просмотр режима работы портов коммутатора А

Шаг 7. Создание группы агрегированного канала на коммутаторах В и С командой “create link_aggregation group 1 type LACP”

Рисунок 92 Создание агрегированного канала

Шаг 8. Настройка созданных групп на коммутаторах В и С. Включить порты 1-4 в группу 1 агрегированного канала 1, порт 1 сделать «связующим» портом командой “config link_aggregation group_id 1 master_port 1 ports 1-4 state enable”

Рисунок 93 Конфигурирование двух созданных групп на коммутаторах B и C

По умолчанию порты имеют режим работы Passive, поэтому специально этот режим мы не указываем.

Важно! 1. Если один конец агрегированного канала настроен как LACP, другой

конец должен также иметь тип LACP. Если один конец имеет тип LACP, а другой Static, то соединение установлено не будет.

2. Если коммутатор с поддержкой IEEE 802.3ad требуется подключить к коммутатору, поддерживающему только статическое агрегирование, то тип агрегированного канала на коммутаторе 802.3ad необходимо установить в Static.


82

Spanning Tree Protocol (IEEE 802.1d) Второй метод, использующийся для повышения отказоустойчивости

компьютерной сети, это Spanning Tree Protocol (STP) – протокол связующего дерева. Разработанный достаточно давно, он до сих пор остается актуальным. В сетях Ethernet, коммутаторы поддерживают только древовидные связи, которые не содержат петель. Это означает, что для организации альтернативных каналов требуются особые протоколы и технологии, выходящие за рамки базовых, к которым относится Ethernet.

Понятие петель

Если для обеспечения избыточности между коммутаторами создается несколько соединений, то могут возникнуть петли. Петля предполагает существование нескольких маршрутов по промежуточным сетям, а сеть с несколькими маршрутами между источником и приемником отличается повышенной устойчивостью к нарушениям. Хотя наличие избыточных каналов связи очень полезно, неконтролируемые петли, тем не менее, создают проблемы, самые актуальные из которых:

• Широковещательные штормы; • Множественные копии кадров; • Множественные петли.

Широковещательный шторм

Распространение широковещательных сообщений в сетях с петлями представляет серьезную проблему. Предположим, что первый кадр, поступивший от узла 1, является широковещательным. Тогда все коммутаторы будут пересылать кадры бесконечно, как показано на рисунке используя всю доступную полосу пропускания сети и блокируя передачу других кадров во всех сегментах.

Рисунок 94 Мостовые петли в среде прозрачных мостовых соединений

Множественные копии кадров

Еще одна проблема заключается в том, что коммутатор получает несколько копий одного кадра одновременно приходящих из нескольких участков сети. В этом случае таблица коммутации не сможет определить расположение устройства, потому что коммутатор будет получать кадр из


83

нескольких каналов. Может случиться так, что коммутатор вообще не сможет переслать кадр, так как будет постоянно обновлять таблицу коммутации.

Множественные петли

Одна из самых сложных проблем – это множественные петли, образующиеся в объединенной сети. Возможно появление петли внутри других петель. Если за этим последует широковещательный шторм, то сеть не сможет выполнять коммутацию кадров.

Для решения этих проблем и был разработан протокол связующего дерева STP использующий алгоритм STA (Spanning Tree Algorithm).

STA позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой.

Коммутаторы, поддерживающие протокол STP автоматически создают древовидную конфигурацию связей без петель в компьютерной сети. Такая конфигурация называется покрывающим деревом - Spanning Tree (иногда ее называют остовым деревом). Конфигурация покрывающего дерева строится коммутаторами автоматически с использованием обмена служебными пакетами.

Рассмотрим подробно работу протокола STP. Алгоритм STA требует, чтобы каждому мосту был присвоен

идентификатор. Идентификатор моста– 8-байтное поле, которое состоит из 2-х частей: 2-байтного приоритета, назначенного администратором и 6 байтного МАС-адреса его блока управления. Каждому порту также назначается уникальный идентификатор в пределах моста, как правило, это его МАС-адрес. Каждому порту моста ставится в соответствие стоимость маршрута, соответствующая затратам на передачу кадра по локальной сети через данный порт.

Процесс вычисления связующего дерева начинается с выбора корневого моста (root switch), от которого будет строиться дерево. В качестве корневого моста выбирается коммутатор с наименьшим значением идентификатора. Первоначально, по умолчанию, все коммутаторы имеют одинаковое значение приоритета, равное 32768 (8000h). В этом случае, корневой коммутатор определяется по наименьшему МАС-адресу. Иногда, такой выбор может оказаться далеко не рациональным. Для того, чтобы в качестве корневого моста было выбрано определенное устройство (исходя из требуемой структуры сети), администратор может повлиять на процесс выборов, присвоив соответствующему коммутатору наименьший идентификатор вручную.

Второй этап работы STP – выбор корневого порта (root port) для каждого из остальных коммутаторов сети.

Корневой порт коммутатора – это порт, который имеет по сети кратчайшее расстояние до корневого коммутатора.

Третий шаг работы STP – определение назначенных портов. Каждый сегмент в коммутируемой сети имеет один назначенный порт

(designated port). Этот порт функционирует как единственный порт моста, который принимает пакеты от сегмента и передает их в направлении корневого моста через корневой порт данного коммутатора. Коммутатор,


84

содержащий назначенный порт для данного сегмента называется назначенным мостом (designated bridge) этого сегмента. Назначенный порт сегмента имеет наименьшее расстояние до корневого моста, среди всех портов, подключенных к данному сегменту. Назначенный порт у сегмента может быть только один. У корневого моста все порты являются назначенными, а их расстояние до корня полагается равным нулю. Корневого порта у корневого моста нет.

При построении покрывающего дерева важную роль играет понятие расстояния. По этому критерию выбирается единственный порт, соединяющий каждый коммутатор с корневым коммутатором, и единственный порт, соединяющий каждый сегмент сети с корневым коммутатором. Все остальные порты переводятся в резервное состояние, то есть такое, при котором они не передают обычные кадры данных. При таком выборе активных портов в сети исключаются петли и оставшиеся связи образуют покрывающее дерево.

В качестве расстояния в STA используется метрика стоимость пути (Path Cost) – она определяется как суммарное условное время на передачу пакета от порта корневого коммутатора до порта данного коммутатора. Условное время сегмента рассчитывается как время передачи одного бита информации через канал с определенной полосой пропускания.

Таблица 4 показывает типичные стоимости пути в соответствии со стандартом IEEE 802.1d.

Таблица 4 Стоимость пути в протоколе IEEE 802.1d

Параметр Скорость канала

Рекомендованное значение

Рекомендованный диапазон

Диапазон

Стоимость пути 4 Мбит/с 250 100-1000 1-65535 Стоимость пути 10 Мбит/с 100 50-600 1-65535 Стоимость пути 16 Мбит/с 62 40-400 1-65535 Стоимость пути 100 Мбит/с 19 10-60 1-65535 Стоимость пути 1 Гбит/с 4 3-10 1-65535 Стоимость пути 10 Гбит/с 2 1-5 1-65535

Вычисление связующего дерева происходит при включении

коммутатора и при изменении топологии. Эти вычисления требуют периодического обмена информацией между коммутаторами связующего дерева, что достигается при помощи специальных пакетов, называемых блоками данных протокола моста - BPDU (Bridge Protocol Data Unit).

Пакеты BPDU содержат основную информацию, необходимую для построения топологии сети без петель:

• Идентификатор коммутатора, на основании которого выбирается корневой коммутатор;

• Расстояние от коммутатора-источника до корневого коммутатора (стоимость корневого маршрута);

• Идентификатор порта; • Пакеты BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet.

Коммутаторы обмениваются BPDU через равные интервалы времени (обычно 1-4с). В случае отказа корневого моста (что сигнализирует об изменении топологии) соседние коммутаторы, не получив пакет BPDU в


85

течение заданного времени (Max Age), начинают пересчет связующего дерева.

Рисунок 95 Формат конфигурационного BPDU

Пакет BPDU имеет следующие поля (см. Рисунок 95): • Идентификатор версии протокола STA - 2 байта. Коммутаторы должны поддерживать одну и ту же версию протокола STA, иначе может установиться активная конфигурация с петлями;

• Версия протокола STP – 1 байт; • Тип BPDU - 1 байт. Существует два типа BPDU - конфигурационный BPDU, то есть заявка на возможность стать корневым коммутатором, на основании которой происходит определение активной конфигурации, и BPDU уведомления о реконфигурации, которое посылается коммутатором, обнаружившим событие, требующее проведения реконфигурации


86

- отказ линии связи, отказ порта, изменение приоритетов коммутатора или портов;

• Флаги - 1 байт. Один бит содержит флаг изменения конфигурации, второй бит - флаг подтверждения изменения конфигурации;

• Идентификатор корневого коммутатора - 8 байтов; • Расстояние до корня - 2 байта; • Идентификатор коммутатора - 8 байтов; • Идентификатор порта - 2 байта; • Время жизни сообщения - 2 байта. Измеряется в единицах по 0.5 с, служит для выявления устаревших сообщений. Когда пакет BPDU проходит через коммутатор, тот добавляет ко времени жизни пакета время его задержки данным коммутатором;

• Максимальное время жизни сообщения - 2 байта. Если пакет BPDU имеет время жизни, превышающее максимальное, то он игнорируется коммутаторами;

• Интервал hello (время приветствия), через который посылаются пакеты BPDU корневым коммутатором;

• Задержка смены состояний - 2 байта. Минимальное время перехода портов коммутатора в активное состояние. Такая задержка необходима, чтобы исключить возможность временного возникновения альтернативных маршрутов при неодновременной смене состояний портов во время реконфигурации.

Пакет BPDU уведомления о реконфигурации (см. Рисунок 96) имеет

следующие поля: • Идентификатор версии протокола STA - 2 байта; • Версия протокола STP – 1 байт; • Тип BPDU - 1 байт с установленным флагом реконфигурации топологии.

Рисунок 96 Формат пакета BPDU уведомления о реконфигурации


87

Пример работы STP

Для примера рассмотрены 3 коммутатора, подключенные с

образованием петли (см.Рисунок 97). Таким образом, в сети могут возникнуть проблемы с зацикливанием пакетов. Например, пусть какой-либо компьютер в сети LAN1 посылает широковещательный пакет. В соответствии с логикой работы коммутаторов, коммутатор А передаст этот пакет во все подключенные к нему сегменты, за исключением того, из которого он пришел. Коммутатор B получит этот пакет и передаст его коммутатору С. Коммутатор С, также получит широковещательный пакет от коммутатора А и передаст его коммутатору В. Тот в свою очередь, вернет его коммутатору A и так далее. Пакеты могут ходить по сети бесконечно долго, что может привести к нарушению работоспособности сети. В этом примере с помощью STP блокируется соединение между коммутаторами С и B.

Рисунок 97 Схема перед применением Spanning Tree

Итак, после включения питания и загрузки каждый коммутатор начинает считать себя корневым. Когда он генерирует BPDU (через интервал hello), он помещает свой идентификатор в поле «идентификатор корневого коммутатора», расстояние до корня устанавливается в 0, а в качестве идентификатора порта указывается идентификатор того порта, через который будет передаваться BPDU.

Как только коммутатор получает BPDU, в котором имеется идентификатор корневого коммутатора, меньше его собственного, он перестает генерировать свои собственные кадры BPDU, и начинает ретранслировать только кадры нового претендента на звание корневого


88

коммутатора. При ретрансляции кадров он наращивает расстояние до корня, указанное в пришедшем BPDU, на условное время сегмента, через который принят данный кадр.

При ретрансляции кадров каждый коммутатор для каждого своего порта запоминает минимальное расстояние до корня. При завершении процедуры установления конфигурации покрывающего дерева, каждый коммутатор находит свой корневой порт - это порт, который ближе других портов находится по отношению к корню дерева.

Рассмотрим выборы корневых портов коммутаторов на примере (см.Рисунок 97). Когда коммутатор A (корневой мост) посылает BPDU, они содержат стоимость пути к корневому мосту равную 0. Когда коммутатор B получает эти BPDU, он добавляет стоимость пути Port 1 (4) к стоимости, указанной в полученном BPDU (0). Коммутатор B затем использует значение 4 и посылает BPDU со стоимостью пути к корню равной 4 через Port 3 и Port 2.

Когда коммутатор C получает BPDU от коммутатора B, он увеличивает стоимость пути к корню до 23 (4 + 19). Однако коммутатор C также получает BPDU от корневого коммутатора А через Port 1. Стоимость пути к корню в этом BPDU равна 0 и коммутатор C увеличивает ее стоимость до 4 (стоимость его Port 1 равна 4). Теперь коммутатор C должен выбрать единственный корневой порт. Коммутатор C выбирает Port 1 в качестве корневого, поскольку его стоимость пути к корню меньше. После этого коммутатор C начинает объявлять стоимость пути до корня равную 4 нижележащим коммутаторам.

Выборы корневого порта коммутатора В происходят аналогично и корневым портом для него становится Port 1 со стоимостью 4.


89

Рисунок 98 После применения Spanning Tree

Кроме этого, коммутаторы выбирают для каждого сегмента сети назначенный порт. Для этого они исключают из рассмотрения свой корневой порт, а для всех своих оставшихся портов сравнивают принятые по ним минимальные расстояния до корня с расстоянием до корня своего корневого порта. Если у своего порта это расстояние меньше принятых, то это значит, что он является назначенным портом. Когда имеется несколько портов с одинаковым кратчайшим расстоянием до корневого коммутатора, то для выбора назначенного порта сегмента STP принимает решение на основе последовательного сравнения идентификаторов мостов и идентификаторов портов.

Все порты, кроме назначенных переводятся в заблокированное состояние и на этом построение покрывающего дерева заканчивается.

На коммутаторе В корневым портом является Port 1 (стоимость 4). Поэтому для сегмента коммутатор А – коммутатор В, назначенным портом будет Port 1 коммутатора А. На коммутаторе С корневым портом является Port 1 (стоимость 4). Поэтому для сегмента коммутатор А – коммутатор С, назначенным портом будет Port 2 коммутатора А. В сегменте коммутатор В – коммутатор С оба порта Port 3 и Port 2 имеют одинаковую стоимость пути, равную 23. В этом случае STP выберет назначенный порт сегмента на основе сравнения идентификаторов мостов. Поскольку идентификатор коммутатора С (20) меньше идентификатора коммутатора В (30), то назначенным портом


90

для этого сегмента станет Port 2 коммутатора С. Port 3 на коммутаторе В заблокируется (см.Рисунок 98).

Таким образом, в процессе построения топологии сети каждый порт коммутатора проходит несколько стадий (см.Рисунок 99):

1. Порт активен или инициализация порта; 2. Порт отключен администратором или сбой порта; 3. Порт выбран в качестве корневого или назначенного порта; 4. Порт заблокирован; 5. Истек таймер смены состояний.

Рисунок 99 Состояния портов в STP

Blocking - При инициализации коммутатора все порты (за исключением отключенных) автоматически переводятся в состояние «Заблокирован». В этом случае порт принимает и обрабатывает только пакеты BPDU. Все остальные пакеты отбрасываются.

Listening (прослушивание) - в этом состоянии порт продолжает принимать, обрабатывать и ретранслировать только пакеты BPDU. Из этого состояния порт может перейти в состояние «Заблокирован», если получит BPDU с лучшими параметрами, чем его собственные (расстояние, идентификатор коммутатора или порта). В противном случае, при истечении таймера смены состояний, порт перейдет в следующее состояние «Обучение».

Learning (обучение) – порт начинает принимать все пакеты и на основе адресов источника строить таблицу коммутации. Порт в этом состоянии все еще не продвигает пакеты. Порт продолжает участвовать в работе алгоритма STA, и при поступлении BPDU с лучшими параметрами переходит в состояние «Заблокирован». В противном случае, при истечении таймера смены состояний, порт перейдет в следующее состояние «Продвижение».


91

Forwarding (продвижение) - в этом состоянии порт может обрабатывать пакеты данных в соответствии с построенной таблицей коммутации. Также продолжают приниматься, передаваться и обрабатываться пакеты BPDU.

Disable (отключен) – в это состояние порт переводит администратор. Отключенный порт не участвует ни в работе протокола STP, ни в продвижении пакетов данных. Порт можно также вручную включить и он сначала перейдет в состояние Blocking.

В процессе нормальной работы корневой коммутатор продолжает генерировать служебные пакеты BPDU, а остальные коммутаторы продолжают их принимать своими корневыми портами и ретранслировать назначенными. Если по истечении максимального времени жизни сообщения (по умолчанию — 20 с) корневой порт любого коммутатора сети не получит служебный пакет BPDU, то он инициализирует новую процедуру построения покрывающего дерева.

Коммутаторы D-Link также поддерживают протокол Rapid STP (IEEE 802.1w), который обладает лучшим временем сходимости по сравнению с STP (меньше 1 секунды).


92

Rapid Spanning Tree Protocol (IEEE 802.1w)

Программное обеспечение управляемых коммутаторов D-Link поддерживает две версии протокола Spanning Tree Protocol, Rapid Spanning Tree Protocol (RSTP), как определено в спецификации IEEE 802.1w и версию, совместимую с IEEE 802.1d STP. RSTP может работать с оборудованием, поддерживающим STP, однако все преимущества от его использования будут потеряны.

Протокол IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) является развитием стандарта IEEE 802.1d STP. Он был разработан для преодоления отдельных ограничений STP, которые мешали внедрению некоторых новых функций коммутаторов, например, функций 3-его уровня, всё больше и больше применяемых в коммутаторах Ethernet.

Среди прочих изменений, в протоколе 802.1w поменялись значения стоимости Path Cost (см.Таблица 5).

Таблица 5 Стоимость пути в протоколе IEEE 802.1w

Существенным отличием протоколов STP 802.1d и RSTP 802.1w

является способ перехода портов в состояние продвижения и то, каким образом этот переход влияет на роль порта в топологии. RSTP объединяет состояния Disabled, Blocking и Listening, используемые в STP и создает единственное состояние Discarding (Отбрасывание), при котором порт не активен.

Рисунок 100 Состояния портов протоколов STP 802.1d и RSTP 802.1w


93

Таблица 6 Различия между состояниями портов в STP и RSTP

Состояние порта STP

Административное состояние порта коммутатора

Порт изучает МАС-адреса?

Состояние порта RSTP

Роль порта в активной топологии

DISABLE Disabled Нет Discarding Исключен (Disabled) DISABLE Enabled Нет Discarding Исключен (Disabled) BLOCKING Enabled Да Discarding Исключен (Alternate,

Backup) LISTENING Enabled Да Discarding Включен (Root,

Designated) LEARNING Enabled Да Learning Включен (Root,

Designated) FORWARDING Enabled Да Forwarding Включен (Root,

Designated) Выбор активной топологии завершается присвоением протоколом RSTP

определенной роли каждому порту. Эти роли следующие: • Корневой порт (Root Port); • Назначенный порт (Designated Port); • Альтернативный порт (Alternate Port); • Резервный порт (Backup Port).

Корневой порт – это порт коммутатора, который имеет по сети

кратчайшее расстояние (в терминах стоимости пути) до корневого коммутатора.

Рисунок 101 Корневой порт

Порт является назначенным, если он посылает BPDU с наилучшими параметрами в тот сегмент, к которому подключен.


94

Рисунок 102 Назначенный порт

Роли корневой порт и назначенный порт включают порт в активную топологию.

В RSTP существуют 2 роли – альтернативный порт (Alternate) и резервный порт (Backup), соответствующие состоянию «Заблокирован» в STP и исключающие порт из активной топологии.

Альтернативный порт предлагает альтернативный основному пути путь в направлении корневого моста.

Рисунок 103 Альтернативный порт

Резервный порт предназначен для резервирования пути, предоставляемого назначенным портом в направлении сегментов сети. Резервные порты существуют только в конфигурациях, где есть два или более соединения данного моста с данной сетью (сегментом сети).


95

Рисунок 104 Резервный порт

Процесс вычисления связующего дерева у обоих протоколов одинаков. Однако, при работе RSTP, порт может перейти в состояние продвижения значительно быстрее, так как он больше не зависит от конфигурации таймеров. Порты больше не должны ждать стабилизации топологии, чтобы перейти в режим продвижения. Для того чтобы обеспечить быстрый переход в это состояние, протокол RSTP вводит два новых понятия: пограничный порт (edge port) и порт типа «точка-точка» (point-to-point , P2P).

Пограничным (Edge) портом объявляется порт, непосредственно подключенный к сегменту, в котором не могут быть созданы петли. Например, порт непосредственно подключен к рабочей станции. Порт, который определен как пограничный, мгновенно переходит в состояние продвижения, минуя состояния прослушивания и обучения. Пограничный порт теряет свой статус и становится обычным портом связующего дерева в том случае, если получит пакет BPDU.

P2P порт, обычно используемый для подключения к другим мостам, также способен быстро перейти в состояние продвижения. При работе RSTP все порты, функционирующие в полнодуплексном режиме, рассматриваются как порты Р2Р, до тех пор, пока не будут переконфигурированы вручную.

Сходимость IEEE 802.1w

Канал связи между коммутатором А и корневым (Root) коммутатором заблокирован и оба моста обмениваются BPDU (см.Рисунок 105). Как только коммутатор А получит BPDU, он заблокирует свои не пограничные назначенные порты. Эта операция называется синхронизацией (sync).


96

Рисунок 105 Первая стадия сходимости 802.1w

Как только коммутатор А заблокирует свои не пограничные порты, корневой порт коммутатора А перейдет в состояние продвижения (forwarding).

Рисунок 106 Вторая стадия сходимости 802.1w


97

Теперь сеть заблокирована ниже коммутатора А. По заблокированному отрезку сети через коммутатор А передаются только новые BPDU, порождаемые корневым коммутатором (см.Рисунок 106).

Заблокированные порты коммутатора А также начинают «вести переговоры» о быстром переходе в состояние продвижения с соседними портами коммутаторов В и С. Эти коммутаторы инициируют операцию синхронизации.

Коммутатор В имеет только пограничные назначенные порты (за исключением корневого порта к коммутатору А). Таким образом не один его порт не блокируется, что дает возможность порту коммутатора А перейти в состояние продвижения.

Аналогично, коммутатор С блокирует только свой назначенный не пограничный порт к коммутатору D (см.Рисунок 107).

Рисунок 107 Третья стадия сходимости 802.1w

Порт Р1 коммутатора D блокируется. Это означает, что окончательная топология сети сформируется только после прохождения новых BPDU вниз по дереву.

Следует отметить, что таймеры в механизме быстрой сходимости не используются. RSTP использует механизм подтверждений (acknowledgement), которые коммутатор может отправлять через свой новый корневой порт для получения авторизации на его мгновенный переход в состояние продвижения. Это позволяет избежать вносящих задержку стадий прослушивания (listening) и обучения (learning).


98

Последовательность предложений/соглашений

Рисунок 108

Порт является синхронизированным «in-sync», если он удовлетворяет следующим критериям:

• он находится в заблокированном состоянии (это состояние

discarding в стабильной топологии); • он является пограничным портом.

Рисунок 109


99

Механизм изменения топологии

1. Определение изменений топологии В протоколе RSTP только не пограничные порты переходят в состояние

продвижения при изменении топологии. Это означает, что разрыв соединения больше не рассматривается как изменение в топологии, в отличие от протокола STP (IEEE 802.1d). Когда коммутатор RSTP обнаруживает изменение топологии, происходит следующее:

• коммутатор устанавливает начальное значение таймера TC While равным удвоенному интервалу hello для всех не пограничных назначенных портов и корневого порта, если необходимо;

• коммутатор сбрасывает МАС-адреса, ассоциированные со всеми этими портами;

• поскольку таймер TC While запускается на порте, BPDU, отправляемые с этого порта, имеют установленный бит ТС. Пока таймер активен, BPDU также отправляются через корневой порт.

2. Распространение информации об изменении топологии Когда коммутатор получает от соседа BPDU с установленным битом ТС,

происходит следующее: • коммутатор сбрасывает все МАС-адреса изученные этими портами, за исключением того, который получил информацию об изменении топологии;

• Коммутатор устанавливает начальное значение таймера TC While и отправляет BPDU с установленным битом ТС через все назначенные порты и корневой порт (RSTP больше не использует специальные TCN BPDU, за исключением случаев, когда требуется уведомить коммутатор-источник).

Рисунок 110 Новый механизм изменения топологии

Отправитель BPDU с битом ТС непосредственно распространяет информацию об изменении топологии через всю сеть.


100

Совместимость IEEE 802.1d/IEEE 802.1w

Протокол RSTP способен взаимодействовать с оборудованием, поддерживающим STP и, если необходимо, может автоматически преобразовывать пакеты BPDU в формат IEEE 802.1d. Однако, преимущество быстрой сходимости этого протокола (когда все коммутаторы переходят в состояние пересылки или блокировки и обладают тождественной информацией) теряется. Протокол также предоставляет возможность использования переменной для миграции, в случае обновления программного обеспечения оборудования в сегменте сети для использования RSTP.

Каждый порт хранит переменную, определяющую тип протокола, используемого в соответствующем сегменте. Когда порт «поднимается», активизируется таймер задержки при миграции (Migration delay timer), равный удвоенному интервалу hello. При запуске этого таймера, текущий режим (STP или RSTP) ассоциированный с портом, блокируется. Как только истечет время задержки миграции, порт будет адаптирован к режиму, соответствующему типу следующего полученного портом BPDU. Если порт, в результате полученного BPDU изменил свой режим работы, таймер задержки при миграции активизируется вновь, ограничивая частоту изменения режимов работы.

Например, предположим, что коммутаторы А и В (см. Рисунок 111) работают в режиме RSTP. Коммутатор А является выделенным коммутатором этого сегмента. К существующему каналу связи подключается коммутатор С, который является коммутатором STP. Так как коммутаторы 802.1d игнорируют BPDU протокола RSTP и отбрасывают их, то коммутатор С не находит больше коммутаторов в этом сегменте сети и начинает отправлять BPDU формата IEEE 802.1d.

Рисунок 111 Одновременная работа протоколов STP и RSTP

Коммутатор А получает эти BPDU и после истечения таймера задержки при миграции, изменяет свой режим работы на этом порту на режим 802.1d. В результате, коммутатор С теперь понимает BPDU коммутатора А и признает коммутатор А в качестве назначенного коммутатора этого сегмента (см. Рисунок 112).


101

Рисунок 112 Работа протоколв RSTP в режиме совместимости с STP

Следует отметить, что если бы в этом частном случае, коммутатор С был удален из сегмента, то коммутатор А остался бы работать в режиме STP на этом порту, хотя он мог бы эффективно работать в режиме RSTP со своим единственным соседом коммутатором В, поскольку коммутатора А нет возможности узнать, что коммутатор С удален из этого сегмента. В этом частном случае для перезагрузки протокола, используемого на порте коммутатора, требуется вмешательство пользователя. Когда порт находится в режиме совместимом с IEEE 802.1d, он также может обрабатывать специальные TCN BPDU с установленными битами ТС и ТСА, уведомляющие об изменении топологии.

Максимальный диаметр сети

Отличие между IEEE 802.1d и IEEE 802.1w заключается в способе увеличения времени жизни сообщения (MessageAge). В стандарте IEEE 802.1d время жизни сообщения MessageAge - это значение, инкрементируемое на 1 при прохождении этого сообщения через корневой порт коммутатора. В стандарте IEEE 802.1w, это значение увеличивается на значение большее 1/16 MaxAge и меньшее 1, с округлением в сторону ближайшего целого значения секунд (MaxAge – максимальное время жизни сообщения).

Максимальный размер сети достигается при: ((MessageAge+HelloTime)>=MaxAge) Например, при значении по умолчанию MaxAge равном 20 и Hellotime

равном 2, максимальный диаметр сети – 18 переходов (Bridge hop) от корневого коммутатора, с общим количеством коммутаторов, объединенных в цепочку или кольцо, равным 37.

Сравнение протоколов STP 802.1d и RSTP 802.1w

• Время сходимости: STP 802.1d: до 30 сек. RSTP 802.1w: до 5 сек. • Диаметр сети: STP 802.1d: 7 переходов RSTP 802.1w: 18 переходов (37 для топологии кольцо)


102

Конфигурирование STP с помощью команд CLI

Ниже приведены команды для конфигурирования STP и Rapid STP с помощью CLI (см. Таблица 7).

Таблица 7 Команды для настройки STP и RSTP

Команда Параметры Описание config stp

maxage <value> hellotime <value> forwarddelay <value> priority <value> fdpdu [enable|disable] txholdcount <1-10> version [rstp|stp]

Настройка временных параметров STP и приоритета моста

config stp ports <portlist> cost <value> priority <value> migrate [yes|no] edge [true|false] p2p [true|false|auto] state [enable|disable]

Настройка параметров портов

enable stp Активизация STP на коммутаторе disable stp Деактивизация STP на коммутаторе show stp Просмотр конфигурации STP show stp ports <portlist> Просмотр конфигурации портов STP

Шаг 1. Активизировать STP (глобально) на коммутаторе командой “enable stp”:

Рисунок 113 Включение STP

Шаг 2. Сконфигурировать STP со следующими значениями для портов: стоимость пути (path cost) 19, приоритет (priority) 16, состояние (state) enabled для портов 1-5 коммутатора командой “config stp ports 1-5 cost 19 priority 16 state enabled”:

Рисунок 114 Конфигурирование портов протокола STP

Шаг 3. Настроить таймеры STP со следующими значениями: maxage 18 и hellotime 4 командой “config stp maxage 18 hellotime 4”:

Рисунок 115 Конфигурирование таймеров протокола STP


103

Шаг 4. Проверка текущей конфигурации STP на коммутаторе командой “show stp”:

Рисунок 116 Просмотр конфигурации STP

Шаг 6. Проверка текущего состояния портов STP командой “show stp ports”:

Рисунок 117 Проверка состояния портов


104

Качество сервиса (QoS)

Приоритетная обработка кадров (IEEE 802.1р)

Построение сетей на основе коммутаторов позволяет использовать

приоритезацию трафика, причем делать это независимо от технологии сети. Эта возможность является следствием того, что коммутаторы буферизуют кадры перед их отправкой на другой порт. Коммутатор обычно ведет для каждого входного и выходного порта не одну, а несколько очередей, причем каждая очередь имеет свой приоритет обработки. При этом коммутатор может быть сконфигурирован, например, так, чтобы передавать один низкоприоритетный пакет на каждые 10 высокоприоритетных пакетов.

Поддержка приоритетной обработки может особенно пригодиться для приложений, предъявляющих различные требования к допустимым задержкам кадров и к пропускной способности сети для потока кадров.

Способность сети обеспечивать различные уровни обслуживания, запрашиваемые теми или иными сетевыми приложениями, наряду с проведением контроля за характеристиками производительности – полосой пропускания, задержкой/дрожанием и потерей пакетов – может быть классифицирована по трем различным категориям:

Негарантированная доставка данных (best effort service). Обеспечение связности узлов сети без гарантии времени и самого факта доставки пакетов в точку назначения. На самом деле негарантированная доставка не является частью Qos поскольку отсутствует гарантия качества обслуживания и гарантия доставки пакетов.

Дифференцированное обслуживание (differentiated service). Предполагает разделение трафика на классы на основе требований к качеству обслуживания. Каждый класс трафика дифференцируется и обрабатывается сетью в соответствии с заданными для этого класса механизмами QoS (быстрее обрабатывается, выше средняя полоса пропускания, ниже средний уровень потерь). Подобная схема обеспечения качества обслуживания часто называется схемой CoS (Class of Service). Дифференцированное обслуживание само по себе не предполагает обеспечение гарантий предоставляемых услуг. В соответствии с этой схемой трафик распределяется по классам, каждый из которых имеет собственный приоритет. Этот тип обслуживания удобно применять в сетях с интенсивным трафиком. В этом случае важно обеспечить отделение административного трафика сети от всего остального и назначить ему приоритет, позволяющий в любой момент времени быть уверенным в связности узлов сети.

Гарантированное обслуживание (guaranteed service). Предполагает резервирование сетевых ресурсов с целью удовлетворения специфических требований к обслуживанию со стороны потоков трафика. В соответствии с гарантированным обслуживанием выполняется предварительное резервирование сетевых ресурсов по всей траектории движения трафика. Например, такие схемы используются в технологиях глобальных сетей Frame Relay и АТМ или в протоколе RSVP для сетей TCP/IP. Однако для коммутаторов такого рода протоколов нет, так что гарантий качества обслуживания они пока дать не могут.


105

Основным вопросом при приоритетной обработке кадров коммутаторами является вопрос назначения кадру приоритета. Так как не все протоколы канального уровня поддерживают поле приоритета кадра, например, у кадров Ethernet оно отсутствует, то коммутатор должен использовать какой-либо дополнительный механизм для связывания кадра с его приоритетом. Наиболее распространенный способ - приписывание приоритета портам коммутатора. При этом способе коммутатор помещает кадр в очередь кадров соответствующего приоритета в зависимости от того, через какой порт поступил кадр в коммутатор. Способ несложный, но недостаточно гибкий - если к порту коммутатора подключен не отдельный узел, а сегмент, то все узлы сегмента получают одинаковый приоритет.

Более гибким является назначение приоритетов кадрам в соответствии со стандартом IEEE 802.1р. Этот стандарт разрабатывался совместно со стандартом IEEE 802.1Q. В обоих стандартах предусмотрен общий дополнительный заголовок для кадров Ethernet, состоящий из двух байт. В этом дополнительном заголовке, который вставляется перед полем данных кадра, 3 бита используются для указания приоритета кадра. Если сетевой адаптер не поддерживает стандарт IEEE 802.1р, то коммутатор может назначать приоритеты кадрам на основе порта поступления кадра. Такие помеченные кадры будут обслуживаться в соответствии с их приоритетом всеми коммутаторами сети, а не только тем коммутатором, который непосредственно принял кадр от конечного узла. При передаче кадра сетевому адаптеру, не поддерживающему стандарт IEEE 802.1р, дополнительный заголовок должен быть удален.

Коммутаторы обеспечивают дифференцированное обслуживание, поэтому необходима идентификация пакетов, которая позволит отнести их к соответствующему классу трафика CoS, включающему, как правило, пакеты из разных потоков. Указанная задача выполняется путем классификации. Классификация пакетов (packet classification) представляет собой средство, позволяющее отнести пакет к тому или иному классу трафика в зависимости от значений одного или нескольких полей пакета.

В управляемых коммутаторах D-Link используются различные способы

классификации пакетов. Ниже перечислены некоторые параметры, на основании которых пакет идентифицируется:

• Биты класса приоритета IEEE 802.1р; • Поля байта TOS, расположенного в заголовке IP-пакета и поле кода дифференцированной услуги (DSCP);

• Адрес назначения и источника IР-пакета; • Номера портов TCP/UDP.

Поскольку высокоприоритетные пакеты должны обрабатываться раньше

низкоприоритетных, в коммутаторах поддерживается несколько очередей приоритетов CoS (например, DES-3226S имеет 4 очереди CoS с разным приоритетом на каждый выходной порт, DES-3828 – 8 очередей). Кадры, в соответствии со своим приоритетом, могут быть помещены в разные очереди, и обслуживаться, например, по взвешенному циклическому алгоритму (Weighted Round Robin, WRR).

Рассмотрим схему распределения пакетов с разными приоритетами между очередями CoS (см. Рисунок 118). Пакеты с приоритетами Р1 и Р2


106

помещаются в очередь Q0, пакеты с приоритетами Р0 и Р3 помещаются в очередь коммутатора Q1, пакеты с приоритетами Р4 и Р5 помещаются в очередь коммутатора Q2, пакеты с приоритетами Р6 и Р7 помещаются в очередь коммутатора Q3.

Очевидно, что пакеты без явно выставленного приоритета умеют значение приоритета равное 0, и по этой схеме попадают в очередь Q1. При необходимости поместить какие-либо пакеты в очередь Q0 им присваивается значение приоритета равное 1 или 2. При линейной схеме распределения приоритетов по очередям (например помещаем P0 и P1 в Q0, P2 и P3 Q1) нет возможности понизить приоритет часть трафика, поскольку пакеты без явно указанного приоритета уже отправляются в Q0. Для обработки очередей приоритетов могут использоваться различные механизмы обслуживания. В коммутаторах D-Link используются 2 схемы обслуживания очередей: строгая очередь приоритетов (Strict Priority Queuing) и взвешенный циклический алгоритм (Weighted Round Robin).

В первом случае, пакеты, находящиеся в самой приоритетной очереди начинают передаваться первыми. При этом пока более приоритетная очередь не опустеет, пакеты из менее приоритетных очередей передаваться не будут. Второй алгоритм WRR устраняет это ограничение, а также исключает нехватку полосы пропускания для очередей с низким приоритетом. В этом случае для каждой очереди приоритетов задается максимальное количество пакетов, которое может быть передано за один раз и максимальное время ожидания, через которое очередь снова сможет передавать пакеты. Диапазон передаваемых пакетов: от 0 до 255. Диапазон времени оживания: от 0 до 255 (увеличивается на 16 мкс).

Рисунок 118 Рекомендуемое распределение пакетов по очередям приоритетов


107

Конфигурирование приоритетной обработки кадров с помощью CLI

Ниже приведены команды для настройки приоритетной обработки кадров с помощью CLI (см. Таблица 8).

Таблица 8 Команды для настройки IEEE 802.1p

Команда Параметры Описание config scheduling

<class_id 0-3> max_packet <value 0-255> max_latency <value 0-255>

Настройка расписания обработки пакетов для каждой очереди приоритетов

show scheduling Просмотр текущего расписания config 802.1p user_priority

<priority 0-7> <class_id 0-3>

Используется для привязки входящего пакета с заданным пользователем приоритетом IEEE 802.1p к одной из аппаратных очередей, доступных на коммутаторе.

show 802.1p user_priority

Просмотр текущей схемы привязки

config 802.1p default_priority

<portlist> all <priority 0-7>

Используется для указания того, как привязать входящие пакеты без тега приоритета к одной из аппаратных очередей коммутатора.

show 802.1p default_priority

<portlist> Просмотр приоритетов IEEE 802.1р, присвоенных немаркированным входящим пакетам.

Шаг 1. Создать расписание обработки очередей приоритетов коммутатора. Для очереди Q0 задать максимальное количество передаваемых пакетов равным 100 и время ожидания – 150 командой “config scheduling 0 max_packet 100 max_latency 150”:

Рисунок 119 Конфигурирование очереди Q0

Шаг 2. Проверить созданное расписание обработки очередей командой “show scheduling”:

Рисунок 120 Просмотр настроенной очереди

Шаг 3. Поместить маркированные пакеты с приоритетом 1 в очередь приоритетов коммутатора Q3 командой “config 802.1p user_priority 1 3”:


108

Рисунок 121 Размещение пакетов с выставленным приоритетом в очередь

Шаг 4. Проверить текущую схему привязки маркированных пакетов к очередям коммутатора командой “show 802.1p user_priority”:

Рисунок 122 Просмотр привязки приоритетов к очередям приоритезации

Шаг 5. Назначить приоритет немаркированному пакету. Присвоить всем немаркированным пакетам, приходящим на порты 1-5 коммутатора, приоритет 5 командой “config 802.1p default_priority 1-5 5”:

Рисунок 123 Задание портам 1-5 приоритета по умолчанию 5

Шаг 6. Проверить приоритеты, назначаемые немаркированным пакетам на портах 1-10 командой “show 802.1p default_priority 1-10”:

Рисунок 124 Просмотр приоритетов портов


109

Контроль полосы пропускания

Контроль полосы пропускания обычно используется для ограничения

скорости передачи и приема битов данных для порта, не зависимо от реальной скорости подключения.

Рисунок 125 Ограничение полосы пропускания для ПК

Конфигурирование полосы пропускания с помощью команд CLI

Ниже приведены команды для конфигурирования полосы пропускания портов с помощью CLI (см. Таблица 9).

Таблица 9 Команды для настройки Traffic control

Команда Параметры Описание config bandwidth_control

<portlist> rx_rate no_limit <value 64-1024000> tx_rate no_limit <value 64-1024000>

Настройка полосы пропускания на указанном порте

show bandwidth_control

<portlist> Просмотр настроек полосы пропускания для каждого порта

Шаг 1. Настроить на портах с 1 по 8 скорость передачи пакетов, равную 1 Мбит/с командой “config bandwidth_control 1-8 tx_rate 1000”:

Рисунок 126 Конфигурирование полосы пропускания


110

Шаг 2. Проверить настройки полосы пропускания на каждом порте командой “show bandwidth_control”:

Рисунок 127 Просмотр настроек полосы пропускания


111

Ограничение доступа к сети

Port Security и таблица фильтрации коммутатора

В коммутаторах, помимо стандартной функции динамического

построения таблицы MAC-адресов на основе адресов входящих пакетов, реализована функция настройки статической таблицы MAC-адресов. Это позволяет в полной мере контролировать прохождение пакетов через коммутатор, блокируя доступ к сети компьютерам с неизвестными коммутатору МАС-адресами.

Во-первых, можно заблокировать дальнейшее обновление таблицы коммутатора – если конфигурация вашей сети более не изменяется, вы блокируете таблицу MAC-адресов, и коммутатор будет просто отбрасывать все пакеты, которые поступают с неизвестных адресов.

Во-вторых, можно вручную привязать определенный MAC-адрес к порту коммутатора, и тем самым коммутатор будет постоянно хранить соответствие MAC-адрес-порт, даже при длительной неактивности устройства или при перегрузках сети. Коммутаторы D-Link позволяют создавать статические таблицы МАС-адресов, хранящие до 256 записей и более.

Коммутаторы имеют возможность настроить таблицу фильтрации MAC-адресов, указав MAC-адрес устройства, и входящие, и исходящие пакеты с указанным адресом будут ими отбрасываться.

Таким образом, используя вышеперечисленные функции или их комбинации, можно обеспечить защиту сети от несанкционированного доступа. Например, если привязать MAC-адреса рабочих станций сети (при условии, что структура сети не изменится в течении определенного времени) к портам коммутатора, а затем заблокировать таблицу коммутатора, можно запретить таким образом прохождение пакетов от неизвестных адресов. Данная функция оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернет и локальных сетей с повышенным требованием по безопасности, так как исключает доступ незарегистрированных рабочих станций.


112

Настройка Port Security с помощью CLI

Ниже приведены команды для конфигурирования функции Port Security с помощью CLI (см. Таблица 10) .

Таблица 10 Команды для настройки Port Security

Команда Параметры Описание config port_security ports

[<portlist>| all ] {admin_state [enable | disable] |max_learning_addr <max_lock_no 0-10> lock_address_mode[Permanent| DeleteOnTimeout|DeleteOnReset]}

Настройка для портов, перечисленных в списке portlist параметров безопасности

clear port_security_entry

vlan_name <vlan_name 32> mac_address <macaddr> port <port>

Удаление настроек безопасности порта, соответствующих указанной VLAN, MAC адресу и порту.

Show port_security {ports <portlist>} Просмотр текущих настроек безопасности портов

Шаг 1. Настроить параметры Port Security для портов 9-16, ограничивающие максимальное количество изучаемых портами МАС-адресов до 5 и позволяющие автоматическое удаление записей из таблицы МАС-адресов с истекшим временем жизни командой “config port_security ports 9-16 admin_state enable max_learning_addr 5 lock_address_mode DeleteOnTimeout ”:

Рисунок 128 Конфигурирование Port Security

Шаг 2. Проверить конфигурацию Port Security командой “ show port_security ports 7-13”:

Рисунок 129 Просмотр конфигурации Port Security


113

Шаг 3. Удалить МАС-адреса из таблицы Port Security для заданных портов командой “clear port_security_entry port 4”:

Рисунок 130 Очистка таблицы Port Security


114

Сегментация трафика Сегментация трафика служит для разграничения доменов на уровне 2. Данная функция позволяет настраивать порты таким образом, чтобы

они были изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов и магистрали сети провайдера. Данная функция может быть использована при построении сетей провайдеров. Очень важной является возможность одновременного использования с VLAN, что позволяет производить дальнейшее разграничение прав.

Рисунок 131 Пример использования функции Traffic Segmentation

Рассмотрим пример (см. Рисунок 131). Все компьютеры (PC2 - PC24) имеют доступ к общему порту uplink, но не имеют доступа друг к другу на канальном уровне. Это решение можно использовать в:

• в проектах ETTH (Ethernet To The Home) для изоляции портов; • для предоставления доступа к общему серверу.


115

Конфигурирование Traffic Segmentation с помощью CLI

Ниже приведены команды для настройки Traffic Segmentation с помощью CLI (см. Таблица 11).

Таблица 11 Команды для настройки Traffic Segmentation

Команда Параметры Описание config traffic_segmentation

<portlist> forward_list null <portlist>

Настройка сегментации трафика на коммутаторе

show traffic_segmentation

<portlist> Просмотр настроек сегментации трафика

Шаг 1. Настроить порты с 19 по 22 так, чтобы они могли передавать кадры только через порты с 23 по 24 командой “ config traffic_segmentation 19-22 forward_list 23-24”:

Рисунок 132 Конфигурирование Traffic Segmentation

Шаг 2. Просмотреть текущую таблицу сегментации трафика, настроенную на коммутаторе командой “ show traffic_segmentation 19-24”:

Рисунок 133 Просмотр конфигурации Traffic Segmentation


116

Протокол IEEE 802.1х Протокол IEEE 802.1х определяет доступ на основе модели

Клиент/Сервер и протокола аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора (см. Рисунок 134). Сервер аутентификации (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

До тех пор, пока клиент не будет аутентифицирован, управление доступом протокола IEEE 802.1х позволит только трафику протокола Extensible Authentication Protocol over LAN (EAPOL) проходить через порт, к которому подключен клиент. После успешной аутентификации, обычный трафик может передаваться через порт.

Рисунок 134 Схема сети при использовании протокола IEEE 802.1x

Роли устройств

При 802.1х аутентификации на основе портов, устройства в сети выполняют определенные роли.

Рисунок 135 Рабочая станция (клиент)

Клиент – Это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1x, например то, которое встроено в ОС Microsoft Windows XP.


117

Рисунок 136 Сервер аутентификации

Сервер аутентификации – выполняет фактическую аутентификацию клиента. Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сети. RADIUS работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером и клиентами RADIUS. Так как коммутатор работает в режиме прокси, сервис аутентификации прозрачен для клиента.

Рисунок 137 Аутентификатор

Коммутатор (также называется аутентификатор (authenticator)) – управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Коммутатор работает как посредник между клиентом и сервером аутентификации, получая запрос на проверку подлинности от клиента, проверяя данную информацию при помощи сервера аутентификации, и пересылая ответ клиенту. Коммутатор включает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.

Инициировать процесс аутентификации может или коммутатор, или клиент.

Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР – ответ со своей идентификацией, коммутатор начинает играть роль посредника, передающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации.


118

Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.

Схема обмена ЕАР кадрами зависит от используемого метода аутентификации. На рисунке показана схема обмена, инициируемая клиентом, использующая метод аутентификации с использованием одноразовых паролей (One-Time-Password, OTP) сервером RADIUS.

Рисунок 138 Блок схема аутентификации клиента в сети

Аутентификация 802.1х может быть выполнена как на основе МАС-адресов, так и на основе портов:

• При аутентификации 802.1x на основе MAC-адресов сервер проверяет не только имя пользователя/пароль, но и максимальное количество MAC-адресов, доступных для работы на порту. Если предел достигнут, то он блокирует новый MAC-адрес;

• При аутентификации 802.1x на основе портов, после того, как порт был аутентифицирован, любой пользователь, подключенный к порту, может получить доступ к локальной сети.

Состояние портов коммутатора

Состояние порта коммутатора определяется тем, получил или не получил клиент право доступа к сети. Первоначально порт находится в неавторизованном состоянии. В этом состоянии он запрещает прохождение всего входящего и исходящего трафика за исключением пакетов протокола IEEE 802.1х. Когда клиент аутентифицирован, порт переходит в авторизованное состояние, позволяя передачу любого трафика от него.


119

Возможны варианты, когда клиент или коммутатор не поддерживают IEEE 802.1х.

Если клиент, который не поддерживает IEEE 802.1х, подключается к неавторизованному порту IEEE 802.1х, коммутатор посылает клиенту запрос на аутентификацию. Поскольку в этом случае, клиент не ответит на запрос, порт останется в неавторизованном состоянии и клиент не получит доступ к сети.

В другом случае, когда клиент с поддержкой IEEE 802.1х подключается к порту, на котором не запущен протокол IEEE 802.1х, клиент начинает процесс аутентификации, посылая кадр EAPOL-start. Не получив ответа, клиент посылает запрос определенное количество раз. Если после этого ответ не получен, клиент, считая, что порт находится в авторизованном состоянии, начинает посылать кадры.

В случае, когда и клиент и коммутатор поддерживают IEEE 802.1х, при успешной аутентификации клиента, порт переходит в авторизованное состояние и начинает передавать все кадры клиента. Если в процессе аутентификации возникли ошибки, порт остается в неавторизованном состоянии, но аутентификация может быть восстановлена. Если сервер аутентификации не может быть достигнут, коммутатор может повторно передать запрос. Если от сервера не получен ответ после определенного количества попыток, в доступе к сети будет отказано из-за ошибок аутентификации.

Когда клиент завершает сеанс работы, он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состояние.

Если состояние канала связи порта переходит из активного (up) в неактивное (down), или получен кадр EAPOL-logoff, порт возвращается в неавторизованное состояние.

Ограничения аутентификации IEEE 802.1х

Протокол IEEE 802.1х не поддерживает следующие типы портов: • агрегированные каналы (Trunk port); • порты EtherChannel — перед тем, как настраивать IEEE 802.1х на порте, необходимо удалить его из интерфейса EtherChannel.


120

Конфигурирование IEEE 802.1х с помощью CLI

На рабочей станции: необходимо установить клиентское ПО для IEEE 802.1x, если оно отсутствует (клиент IEEE 802.1x встроен в ОС Window XP).

Сервер Radius: Windows NT, Windows 2000 Server Radius Server Service,

или любой другой подходящий. На коммутаторе:

• активировать IEEE 802.1x на устройстве; • настроить IEEE 802.1x на портах; • настроить параметры для сервера Radius.

Ниже приведены команды для настройки IEEE 802.1x с помощью CLI

(см. Таблица 12). Таблица 12 Команды для настройки IEEE 802.1х

Команда Параметры Описание enable 802.1x Активизировать сервер IEEE

802.1х на коммутаторе disable 802.1x

Запретить сервер IEEE 802.1х на коммутаторе

show 802.1x [auth_state | auth_configuration] {ports <portlist>}

Просмотр текущей конфигурации сервера IEEE 802.1x на коммутаторе

config 802.1x capability

ports <portlist>|all authenticator none

Настройка IEEE 802.1х на портах и определение их роли: аутентификатор или не аутентификатор

config 802.1x auth_parameter

ports <portlist>|all default direction [both|in] port_control [force_unauth|auto|force_auth] quiet_period <sec 0-65535> tx_period <sec 1-65535> supp_timeout <sec 1-65535> server_timeout <sec 1-65535> max_req <value 1-10> reauth_period <sec 1-65535> enable_reauth [enable|disable]

Настройка параметров аутентификации IEEE 802.1x для указанного списка портов. Default - возврат всех портов из указанного списка к настройкам IEEE 802.1x по умолчанию

config 802.1x auth_mode

[port_based |mac_based]

Настройка режима аутентификации IEEE 802.1x: на основе портов или на основе МАС-адресов

config 802.1x init config 802.1x init [port_based ports [<portlist|all>] |mac_based ports [<portlist>|all] {mac_address <macaddr>}]

Мгновенная инициализация функции IEEE 802.1x на портах из указанного списка или для указанных МАС-адресов

config 802.1x reauth

[port_based ports [<portlist|all>] |mac_based ports [<portlist>|all] {mac_address <macaddr>}]

Повторная аутентификация на коммутаторе уже аутентифицированных устройств на основе МАС-адресов или номеров портов

config radius add <server_index 1-3> <server_ip>

Настройка параметров коммутатора для работы с


121

key <passwd 32> default auth_port <udp_port_number> acct_port <udp_port_number>

сервером RADIUS

config radius delete

<server_index 1-3> Удаление ранее созданной конфигурации для работы с сервером RADIUS.

config radius <server_index 1-3> ipaddress <server_ip> key <passwd 32> auth_port <udp_port_number> acct_port <udp_port_number>

Изменение параметров коммутатора для работы с сервером RADIUS.

show radius Просмотр текущей конфигурации RADIUS на коммутаторе.

Шаг 1. Активировать IEEE 802.1x на коммутаторе командой “enable 802.1x”:

Рисунок 139 Активирование 802.1x

Шаг 2. Просмотр состояния аутентификации IEEE 802.1х на портах 19-24 коммутатора командой “show 802.1x auth_state ports 19-24”:

Рисунок 140 Просмотр статуса 802.1x портов 19-24

Шаг 3. Настроить IEEE 802.1x на портах с 19 по 24 командой “config 802.1x capability ports 19-24 authenticator”:

Рисунок 141 Конфигурирование портов 802.1x

Шаг 4. Просмотр текущей конфигурации IEEE 802.1х для порта 19 командой “show 802.1x auth_configuration ports 19”:


122

Рисунок 142 Просмотр конфигурации 802.1x порта 19

Шаг 5. Инициализировать повторную аутентификацию 802.1х для портов 19-24 командой “config 802.1x reauth mac_based ports 19-24”:

Рисунок 143 Включение принудительной аутентификации 802.1x для портов 19-24

Шаг 6. Настроить режим аутентификации IEEE 802.1х на основе портов командой ”config 802.1x auth_mode port_based”:

Рисунок 144 Конфигурирование 802.1x для работы в режиме на основе портов

Шаг 7. Настроить коммуникационные параметры для сервера Radius, с IP-адресом 192.168.0.100, и ключом “dlink” командой “config radius add 1 192.168.0.100 key dlink default ”:

Рисунок 145 Конфигурирование адреса и ключа сервера RADIUS


123

Access Control Lists (ACL) Списки управления доступом (Access Control Lists) обеспечивают

ограничение прохождения трафика через коммутатор. Профили доступа указывают коммутатору, какие виды пакетов принимать, а какие – отвергать. Прием пакетов или отказ в приеме основывается на определенных признаках, таких как адрес источника, адрес приемника, адрес порта, и других.

Профиль управления доступом дает возможность управлять трафиком и просматривать определенные пакеты, применяя списки доступа (ACL) на всех интерфейсах коммутатора.

В коммутаторах D-Link существует два основных типа профилей управления доступом: Ethernet и IP. Фильтрация в этих типах профилей может выполняться на основе МАС -адресов источника и приемника, VLAN, IP-адресов, номеров портов.

Профили доступа работают последовательно, в порядке возрастания их номеров (Profile ID). Пакет проверяется на соответствие условиям, указанным в профилях доступа, начиная с первого профиля. Если профиль подходит, пакет или принимается, или отбрасывается и дальше не проверяется. Если не один профиль не подходит, применяется политика по умолчанию, разрешающая прохождение всего трафика.

Алгоритм создания профиля доступа

Проанализируйте задачи фильтрации и определите: • какой профиль доступа использовать: Ethernet или IP; • определитесь со стратегией и запишите ее; • основываясь на стратегии, определите, какие маски профиля доступа Access Profile Mask нужны и создайте их;

• добавьте правила Access Profile Rule связанные с маской. В коммутаторах существуют ограничения на максимальное количество

профилей доступа и правил, определенных для них. Так, например, коммутатор DES-3226S может поддерживать максимально 10 профилей доступа, содержащих максимум 50 правил (50 правил – суммарное количество правил для всех 10 определенных профилей), коммутатор DES-3526 – 9 профилей и до 800 правил.

Создание профилей доступа (с использованием Web-интерфейса)

Процесс создание профиля доступа делится на 2 основные части: Создание маски профиля доступа - указывается какую часть или части

кадра будет проверять коммутатор, например МАС адрес источника или IP адрес назначения.

Создание правил профиля доступа: вводится условие, которое коммутатор будет использовать для определения действий над кадром (принять или отбросить).


124

Рисунок 146 Таблица настроек масок профилей

Шаг 1: Создание маски профиля (Access Profile Mask) 1. Зайдите на Web-интерфейс управления коммутатором. Выберите пункт Configuration/ Access Profile Table.

2. Щелкните на кнопке Add на странице таблицы настройки масок профилей Access Profile Table. Появится новое меню. Используйте его для создания профиля доступа и укажите, какие условия использовать для проверки кадра. Как только профиль будет создан, к профилю можно будет применить правила.

3. Задайте следующие параметры маски профиля доступа:

а) Идентификатор профиля (Profile ID): Наберите уникальный идентификационный номер для профиля или разрешите установить этот номер автоматически, выбрав опцию Auto Assign. Это значение может быть в диапазоне от 1 до 255;

б) Тип профиля доступа (Type): Выберите профиль Ethernet, IP, или PacketContentMask. Вид меню изменится в соответствии с требованиями для выбранного типа профиля (см.Рисунок 147, Рисунок 148 и Рисунок 149). Используйте Ethernet, для того, чтобы коммутатор исследовал часть заголовка 2-го уровня каждого пакета. Используйте IP, для того, чтобы коммутатор исследовал IP адрес в заголовке каждого кадра. Используйте PacketContentMask для обработки пакетов по первым 80-ти байтам заголовка пакетов.

в) VLAN: Выберите эту опцию, для того, чтобы коммутатор исследовал поле VLAN заголовка каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов.

Для профиля Ethernet:

4. Маска адреса источника MAC (Source MAC Mask): Маска адреса источника MAC – введите маску MAC адреса для MAC адреса источника.

5. Маска адреса назначения MAC (Destination MAC Mask): Маска адреса назначения MAC – введите маску MAC адреса для MAC адреса назначения.

6. 802.1p: Выберите эту опцию, для того, чтобы коммутатор исследовал значение приоритета IEEE 802.1p заголовка каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов.

7. Ethernet Type: Выберите эту опцию для того, чтобы коммутатор исследовал значение типа Ethernet в заголовке каждого кадра.


125

Рисунок 147 Профили доступа на уровне MAC

Для профиля IP: 4. Маска адреса источника IP (Source IP Mask): Маска адреса источника IP - введите маску IP адреса для IP адреса источника.

5. Маска адреса назначения IP (Destination IP Mask): Маска адреса назначения IP - введите маску IP адреса для IP адреса назначения.

6. DSCP: Выберите эту опцию, для того, чтобы коммутатор исследовал DiffServ Code Point (DSCP) поле каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов.

7. Protocol: Выберите эту опцию для того, чтобы коммутатор исследовал определенные поля соответствующих протоколов (ICMP, IGMP, TCP, UDP) в заголовке каждого кадра. Для протоколов TCP и UDP в качестве критерия указываются номера портов приложений. Можно использовать либо номер порта источника, либо номер порта приемника, либо оба критерия вместе. В поле Source Port Mask Ox укажите маску порта TCP/UDP для порта источника в шестнадцатеричном виде (hex 0x0-0xffff).В поле Destination Port Mask Ox укажите маску порта TCP/UDP для порта приемника в шестнадцатеричном виде (hex 0x0-0xffff).

8. Для профиля PacketContentMask:

9. Offset: по какому смещению располагаются обрабатываемые поля. 80 байт разбиты на 5 блоков по 16 байт.

Шаг 2: Создание правила для маски профиля доступа.

4. Выберите нужный профиль доступа в таблице настроек масок профилей и нажмите кнопку Modify;

5. Cоздайте новое правило для профиля доступа, щелкнув на кнопке Add. Удалить, ранее созданное правило, можно, нажав напростив него кнопку Delete;

6. Введите значения в соответствие с ранее заданной маской профиля;

7. Укажите к каким физическим портам будет привязано правило;


126

8. Укажите каким будет правило Permit (разрешающее) или Deny (запрещающее).

Рисунок 148 Профили доступа на уровне IP

Рисунок 149 Профиль на базе PacketContentMask


127

Рисунок 150 Установка правил профиля доступа

Рисунок 151 Создание правила для профиля доступа

В случае необходимости, при совпадении профиля, значения тега для IEEE 802.1p может быть заменено новым, меняющим приоритет пакета. Для этого надо выбрать опцию priority и ввести нужное значение в соседнем поле. Самый низший приоритет имеет значение 0, наивысший –7.


128

Конфигурирование Access Control Lists (ACL) с помощью CLI

Ниже приведены команды для настройки ACL с помощью CLI для коммутатора DES-3526 (см. Таблица 13).

Таблица 13 Команды для настройка ACL

Команда Параметры Описание create access_profile

ethernet vlan source_mac <macmask> destination_mac <macmask> 802.1p ethernet_type ip vlan source_ip_mask <netmask> destination_ip_mask <netmask> dscp

icmp type code

igmp {type} tcp src_port_mask <hex 0x0-0xffff> dst_port_mask <hex 0x0-0xffff> flag_mask all urg ack psh rst syn Fin udp src_port_mask <hex 0x0-0xffff> dst_port_mask <hex 0x0-0xffff> protocol_id_mask <hex 0x0 - 0xFF> user_define_mask <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> packet_content_mask offset_0-15 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_16-31 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_32-47 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_48-63

Создание профиля доступа на коммутаторе и определение того, какую часть заголовка каждого входящего кадра будет проверять коммутатор. Маска, введенная в команде create access_profile, укажет коммутатору то место в заголовке пакета, которое необходимо проверить, чтобы принять решение о фильтрации.


129

<hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_64-79 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> profile_id <value 1-255>

delete access_profile

Profile_id <value 1-255>

Удалить ранее созданный профиль доступа.

config access_profile profile_id <value 1-255>

profile_id <value 1-255> add access_id <value 1-65535> ethernet vlan <vlan_name 32> source_mac <macaddr> destination_mac <macaddr>

802.1p <value 0-7> ethernet_type <hex 0x0-0xffff> ip vlan <vlan_name 32> source_ip <ipaddr> destination_ip <ipaddr> dscp <value 0-63> icmp type <value 0-255> code <value 0-255> igmp {type <value 0-255>}

tcp src_port <value 0-65535> dst_port <value 0-65535> flag_mask all urg ack psh rst syn fin

udp src_port <value 0-65535> dst_port <value 0-65535> protocol_id <value 0 - 255> user_define <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> packet_content_mask offset_0-15 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_16-31 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff>

Конфигурирование профиля доступа и определение значений, на основе которых коммутатор отфильтрует пакет или передаст по месту назначения. Маска определяет те значения, которые коммутатор будет проверять в указанных полях заголовка кадра.


130

offset_32-47 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_48-63 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> offset_64-79 <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> <hex 0x0-0xffffffff> port <portlist> permit priority <value 0-7> replace_priority replace_dscp_with <value 0-63> deny delete access_id <value 1-65535>

show access_profile

profile_id <value 1-255> access_id <value 1-65535>

Посмотреть все сконфигурированные на коммутаторе профили доступа

можно с помощью команды “show access_profile”.

Рисунок 152 Просмотр созданных ACL


131

Примеры профилей доступа

Пример 1. ACL по заголовку Ethernet в теле пакета

Рисунок 153 Схема сети для профилей Ethernet

В этом примере профиль доступа разрешает доступ в Интернет только рабочим станциям с заданными МАС-адресами. Трафик других станций блокируется (см.Рисунок 153):

• Интернет-шлюз, МАС: 00-50-ba-00-00-19; • ПК1 разрешен доступ в Интернет, МАС: 00-50-ba-6b-18-c8; • Остальным компьютерам запрещен доступ в Интернет.

Определим правила и создадим профили доступа (с помощью CLI). Правила: Если MAC-адрес назначения = адрес шлюза и MAC-адрес

источника = адрес разрешенного компьютера, то разрешить (можно ввести несколько таких правил для других компьютеров, которым разрешен доступ)

Если MAC-адрес назначения = адрес шлюза, то запретить. Иначе, разрешить все остальное по умолчанию

Шаг 1. Разрешить компьютеру с МАС 00-50-ba-6b-18-c8 получать доступ в Интернет, для этого создаем Ethernet-профиль командой “create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 10”:


132

Рисунок 154 Создание профиля 10

Затем создаем правило, в качестве адреса источника указываем адрес ПК1 , в качестве адреса назначения адрес Интернет-шлюза:

Рисунок 155 Создание правила для станции ПК1

Шаг 2. Запрещаем любые пакеты на МАС адрес 00-50-ba-00-00-19. Создаем профиль командой “create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20”:

Рисунок 156 Создание профиля 20

Создаем правило командой “config access_profile profile_id 20 add access_id 21 ethernet destination_mac 00-50-BA-00-00-19 port 3-26 deny”:

Рисунок 157 Создание запрещающего правила для МАС-адреса назначения 00-50-BA-00-00-19


133

Пример 2. ACL по заголовку Ethernet в теле пакета В этом примере профиль доступа запрещает доступ в Интернет рабочей

станции с заданным МАС-адресом. Трафик других станций разрешен (см.Рисунок 153):

• Интернет-шлюз, МАС: 00-50-ba-00-00-19; • PC1 запрещен доступ в Интернет, МАС: 00-50-ba-6b-18-c8; • Остальным компьютерам разрешен доступ в Интернет.

Правила: Если MAC-адрес назначения = адрес шлюза и MAC-адрес

источника = адрес запрещенного компьютера, то запретить (можно ввести несколько таких правил для других компьютеров, которым запрещен доступ)

Иначе, разрешить все остальное по умолчанию

Шаг 1. Запретить компьютеру с MAC 00-50-ba-6b-18-c8 доступ в Интернет с любых портов коммутатора, создав профиль и правило командами “create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 10” и “config access_profile profile_id 10 add access_id 11 ethernet source_mac 00-50-BA-6B-18-C8 destination_mac 00-50-BA-00-00-19 port 1-26 deny”:

Рисунок 158 Создание запрещающего ACL

Шаг 2. Поскольку никаких иных запрещающих правил нет, весь остальной трафик будет разрешен, дополнительных ACL не требуется.


134

Пример 3. ACL по заголовку IP в теле пакета

Рисунок 159 Схема сети для профилей IP

В этом примере профиль доступа разрешает доступ в Интернет только рабочим станциям с заданными IP-адресами. Трафик других станций блокируется:

• Интернет-шлюз IP= 192.168.1.254/32; • Сеть: 192.168.1.0/24; • Доступ в Интернет разрешен рабочим станциям с адресами:

192.168.1.1 - 192.168.1.63 (подсеть 192.168.1.0/26); • Остальным компьютерам доступ в Интернет запрещен.

Правила:

• Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.0/26, то доступ разрешен;

• Если DestIP=192.168.1.254/32 и SrcIP=192.168.1.0/24, то доступ запрещен;

• Иначе, по умолчанию разрешить доступ всем.

Шаг 1. Разрешить доступ компьютерам с адресами 192.168.1.1-192.168.1.63 на шлюз 192.168.1.254 командой “create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.192 profile_id 10”:


135

Рисунок 160 Создание профиля для IP

Шаг 2. Запретить доступ всем остальным компьютерам из сети 192.168.1.0/24 на шлюз 192.168.1.254. Создаем ACL командами “create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.0 profile_id 20” и “config access_profile profile_id 20 add access_id 21 ip destination_ip 192.168.1.254 source_ip 192.168.1.0 port 1-26 deny”:


Шаг 3. Иных ACL мы не создаем, соответственно весь остальной трафик будет передаваться без блокировки.


136

Пример 4 Профиль доступа IP для коммутатора 3-го уровня

Рисунок 162 Схема сети для ACL на коммутаторе 3-го уровня

Разрешить доступ только в одну сеть из других подсетей. Подсеть 1 (допустим это серверная ферма) может быть доступной из подсетей 2, 3 и 4. Подсети 2, 3 и 4 не имеют доступ друг к другу (см.Рисунок 162).

Правила: • Если Dest. IP=192.168.1.x, то разрешить доступ; • Если Src. IP=192.168.1.x, то разрешить доступ; • Если DestIP=192.168.2.x и SrcIP=192.168.2.x, то разрешить доступ;

• Если DestIP=192.168.3.x и SrcIP=192.168.3.x, то разрешить доступ;

• Если DestIP=192.168.4.x и SrcIP=192.168.4.x, то разрешить доступ;

• Последним правилом запретить все остальное.

Шаг 1. Разрешить доступ только к подсети 192.168.1.x из других подсетей создав ACL командами “create access_profile profile_id 10 ip destination_ip_mask 255.255.255.0” и “config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.0 port 1-12 permit”:


137

Рисунок 163 Создание разрешающего ACL для доступа к Net1

Шаг 2. Разрешить доступ в подсети 2,3 и 4 только из подсети 192.168.1.x, создав ACL командами “create access_profile profile_id 11 ip source_ip_mask 255.255.255.0” и “config access_profile profile_id 11 add access_id 10 ip source_ip 255.255.255.0 port 1-12 deny”:

Рисунок 164 Создание разрешающего ACL для доступа из Net1

Шаг 3. Разрешить доступ внутри подсетей 192.168.2.x, 192.168.3.x и 192.168.4.x, создав ACL командами “create access_profile profile_id 12 ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0”; “config access_profile profile_id 12 add access_id 10 ip source_ip 192.168.2.0 destination_ip 192.168.2.0 port 1-12 permit”; “config access_profile profile_id 12 add access_id 11 ip source_ip 192.168.3.0 destination_ip 192.168.3.0 port 1-12 permit”; “config access_profile profile_id 12 add access_id 13 ip source_ip 192.168.4.0 destination_ip 192.168.4.0 port 1-12 permit”:


138

Рисунок 165 Создание разрешающих правил для сетей Net 2, Net3, Net4

Шаг 4. Запретить все остальное, создав ACL командами “create access_profile profile_id 14 ip source_ip_mask 0.0.0.0” и “config access_profile profile_id 14 add access_id 5 ip source_ip 0.0.0.0 port 1-12 deny”:



139

Многоадресная рассылка Многоадресная рассылка (Multicast) – это технология экономии полосы

пропускания, которая сокращает трафик за счет доставки одного потока информации сразу тысячам корпоративных или частных абонентов. Преимущества многоадресной рассылки используют такие приложения как видеоконференции, корпоративная связь, дистанционное обучение.

Суть многоадресной рассылки заключается в том, что она позволяет

нескольким получателям принимать сообщения без передачи индивидуальных сообщений каждому узлу широковещательного домена.

Многоадресная рассылка предполагает отправку сообщений или данных на IP-адрес группы многоадресной рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке мира. Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписаться на рассылку) при помощи протокола IGMP. После этого пакеты многоадресной рассылки IP, содержащие групповой адрес в поле назначения заголовка, будут поступать на этот узел и обрабатываться.

Адресация многоадресной рассылки

Групповые адреса определяют произвольную группу IP-узлов, присоединившихся к этой группе и желающих получать адресованный ей трафик.

Назначением групповых адресов управляет IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет). Оно выделило для групповой IP-адресации адреса сети класса D. Это означает, что область многоадресной рассылки охватывает адреса с 224.0.0.0 до 239.255.255.255.

IANA зарезервировало область многоадресной рассылки IP 224.0.0.0-224.0.0.255 для сетевых протоколов сегментов локальных сетей. Пакеты с такими адресами никогда не выходят за пределы локальной сети. Вторая группа адресов в диапазоне 224.0.1.0-224.0.1.255 – это глобальные адреса, которые могут использоваться для многоадресной передачи данных в Интернет.

МАС-адреса групповой рассылки

Как правило, рабочие станции локальной сети получают и обрабатывают пакеты только в случае совпадения МАС-адреса назначения пакета с их собственным МАС-адресом или если МАС-адрес – широковещательный. Существует несколько средств для того, чтобы несколько узлов многоадресной группы могли получить один и тот же пакет.

Многоадресная рассылка IP формирует МАС-адрес на основе адреса групповой рассылки IP третьего уровня. Кадр МАС имеет стандартный префикс из 24 битов. Этот префикс «01-00-05» – используется для всех адресов многоадресной рассылки Ethernet. При это оставшиеся 24 бита используются для создания МАС-адреса многоадресной рассылки. Когда


140

создается МАС-адрес, 25-й бит (или бит высокого порядка) приравнивается к 0, и затем последние 23 бита IP-адреса преобразуются в остальные 23 бита МАС-адреса (см. Рисунок 167).

Рисунок 167 Преобразование группового IP-адреса в адрес Ethernet

Поскольку при преобразовании теряются 5 битов 1-го октета IP-адреса, получившийся адрес не является уникальным. На самом деле одному МАС-адресу соответствует 32 группы многоадресной рассылки.

Подписка и обслуживание групп

Сам по себе многоадресный трафик не знает ничего о том, где находятся его адресаты. Как и для любого приложения для этого нужны протоколы.

Протокол IGMP (Internet Group Management Protocol) используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Узлы сети определяют принадлежность к группе, посылая IGMP-сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы получают IGMP-сообщения и периодически посылают запросы, чтобы определить, какие группы активны или неактивны в данной сети (см.Рисунок 168).

Протокол IGMP v1

В версии 1 протокола IGMP существуют два типа IGMP-сообщений: • Запрос о принадлежности к группе; • Ответ о принадлежности к группе.

Узлы отсылают IGMP-ответы, которые соответствуют определенной многоадресной группе, чтобы подтвердить свое желание присоединиться к этой группе. Маршрутизатор периодически отправляет IGMP-запрос, чтобы убедиться, что хотя бы один узел в подсети еще намерен получать трафик, предназначенный для этой группы. При отсутствии ответа на три


141

последовательных IGMP-запроса, маршрутизатор отключает группу и прекращает передавать адресованный ей трафик.

Рисунок 168 Принцип работы протокола IGMP. Процесс подписки на группу

Протокол IGMP v2

В версии 2 протокола IGMP существуют четыре типа IGMP-сообщений: • Запрос о принадлежности к группе; • Ответ о принадлежности к группе по версии 1; • Ответ о принадлежности к группе по версии 2; • Покинуть группу.

В основном работа IGMP 2 не отличается от IGMP 1. Разница заключается в наличие сообщений о выходе из группы. Теперь узлы сами могут сообщить локальному многоадресному маршрутизатору о намерении покинуть группу (см.Рисунок 169). В ответ маршрутизатор отсылает группе специальный запрос, чтобы определить, остались ли в ней еще узлы, желающие получать данный трафик. Если ответа не поступит, маршрутизатор отключает группу и прекращает передачу трафика. Это может значительно сократить задержки, связанные с прекращением членства в группе, по сравнению с IGMP 1. Нежелательный и ненужный трафик может быть прекращен гораздо быстрее.


142

Рисунок 169 Принцип работы протокола IGMP. Процесс выхода из группы

Управление многоадресной рассылкой на 2 уровне

Стандартное поведение коммутатора 2-ого уровня заключается в передаче всего многоадресного трафика на каждый порт, принадлежащий локальной сети-приемнику на данном коммутаторе. Это связано с тем, что коммутатор не находит записи об МАС-адресе групповой рассылки в своей таблице коммутации, и поэтому рассылает пакеты через все порты. Это противоречит основному назначению коммутатора, которое заключается в ограничении трафика и доставке его только тем портам, для которых такие данные действительно предназначены (см.Рисунок 170)

Рисунок 170 Передача данных через коммутатор не поддерживающий многоадресную рассылку


143

Управление многоадресной рассылкой на коммутаторе может быть

выполнено несколькими способами: • Виртуальные локальные сети VLAN могут определять соответствующие границы многоадресной группы. Этот подход прост, однако он не поддерживает динамическое добавление или исключение членов из группы;

• IGMP-прослушивание (IGMP-snooping). IGMP-прослушивание – это проверки или прослушивание локальной сети на наличие в IGMP-пакетах, передаваемых между узлом и маршрутизатором, некоторой информации 3-его уровня.

Когда коммутатор получает IGMP-отчет узла для многоадресной группы, он заносит номер порта узла в запись своей ассоциированной многоадресной таблицы. Когда коммутатор получает IGMP-сообщение о выходе узла из группы, он удаляет номер порта этого узла из записи таблицы (см. Рисунок 171).

Поскольку управляющие IGMP-сообщения передаются в виде многоадресных пакетов, они неотличимы от многоадресных данных 2-ого уровня. Коммутатор, на котором осуществляется IGMP-прослушивание, проверяет все многоадресные пакеты и ищет среди них те, которые содержат управляющую информацию. IGMP-прослушивание сильно загружает центральный процессор и может снизить производительность коммутатора. Поэтому в коммутаторах обычно используются специализированные микросхемы, которые проверяют IGMP-сообщения на аппаратном уровне.

Рисунок 171 Передача данных через коммутатор с поддержкой IGMP Snooping


144

Конфигурирование IGMP- snooping с помощью CLI

Ниже приведены команды для настройки IGMP-snooping с помощью CLI (см. Таблица 14).

Таблица 14 Команды для настройки IGMP-Snooping

Команда Параметры Описание config igmp_snooping

<vlan_name 32> all host_timeout <sec 1-16711450> router_timeout <sec 1-16711450> leave_timer <sec 1-16711450> state enable disable

Настройка IGMP- snooping на коммутаторе

config igmp_snooping querier

<vlan_name 32> all query_interval <sec 1-65535> max_response_time <sec 1-25> robustness_variable <value 1-255> last_member_query_interval <sec 1-25> state enable| disable

Настройка времени в секундах между передачами основной очереди, максимальное время в секундах ожидания отчета от члена группы и разрешенное количество потерь пакетов в подсети

config router_ports <vlan_name 32> add <portlist> delete <portlist>

Настройка указанных портов для подключения к многоадресному маршрутизатору. Это даст гарантию, что все пакеты достигнут многоадресного маршрутизатора несмотря на протокол и т.п.

enable igmp snooping

forward_mcrouter_only Активизировать IGMP- snooping на коммутаторе. forward_mcrouter_only указывает, что коммутатор будет направлять весь мультикастовый трафик только многоадресному маршрутизатору с поддержкой мультикастов. В противном случае, коммутатор будет направлять трафик любому IP маршрутизатору

disable igmp snooping

Отключить IGMP- snooping на коммутаторе.

show igmp snooping

vlan <vlan_name 32>

Просмотр текущего состояния IGMP-snooping на коммутаторе

show igmp snooping group

vlan <vlan_name 32>

Просмотр текущей конфигурации IGMP- snooping группы на коммутаторе

show router ports vlan <vlan_name 32> static dynamic

Просмотр текущей конфигурации портов маршрутизатора на коммутаторе


145

Шаг 1. Настроить IGMP-snooping командой “config igmp_snooping default host_timeout 250 state enable”:

Рисунок 172 Конфигурирование IGMP-Snooping

Параметр host_timeout <sec> - Задаёт максимальное время, в течение которого узел может быть членом многоадресной группы без получения коммутатором отчёта узла о нахождении в группе. Время по умолчанию 260 сек.

Шаг 2. Настроить IGMP-snooping querier на коммутаторе командой “config igmp_snooping querier default query_interval 125 state enable”:

Рисунок 173 Конфигурирование IGMP-Snooping querier

Шаг 3. Включить IGMP-snoopingна коммутаторе командой “enable igmp_snooping”:

Рисунок 174 Активирование IGMP-Snooping

Шаг 4. Настроить статический порт 25 для подключения к маршрутизатору командой “config router_ports default add 25”:

Рисунок 175 Конфигурирование router ports

Шаг 5. Проверить текущее глобальное состояние IGMP-snooping на коммутаторе командой “show igmp_snooping ”:


146

Рисунок 176 Проверка состояния IGMP-snooping

Шаг 6. Просмотреть текущую таблицу портов, получающих многоадресные потоки командой ”show igmp_snooping forwarding ”:

Рисунок 177 Просмотр текущей таблицы портов

Шаг 7. Просмотреть текущие группы IGMP-snooping в коммутаторе командой “show igmp_snooping group ”:


147

Рисунок 178 Просмотр текущих групп IGMP-Snooping


148

Литература:

1. Руководства пользователя коммутаторов D-Link DES-3526, DES-3828 и других.

2. Материалы для тренингов D-Link. 3. Компьютерные сети. Принципы, технологии, протоколы. В.Г. Олифер, Н.А. Олифер. – СПб:Питер, 2000.

4. Руководство по технологиям объединенных сетей, 3-е издание.: Пер. с англ.– М.:Издательский дом «Вильямс», 2002.

5. Качество обслуживания в сетях IP.: Вегешна Шринивас. Пер. с англ.– М.:Издательский дом «Вильямс», 2003.

6. ЭНЦИКЛОПЕДИЯ СЕТЕВОГО ОБОРУДОВАНИЯ. http://www.routers.ru 7. Стандарты группы IEEE для ЛВС


149

ПРИЛОЖЕНИЕ А. Синтаксис команд. Следующие символы используются для описания ввода команд и

ожидаемых значений и аргументов (см. Таблица 15). Оперативная справка содержится в CLI коммутатора и доступна через интерфейс консоли, используя аналогичный синтаксис.

Таблица 15 Синтаксис CLI

<угловые скобки > Назначение Содержат ожидаемую переменную или значение, которое

должно быть указано. [квадратные скобки]

Назначение Содержат требуемое значение или набор требуемых

аргументов. Может быть указано одно значение или аргумент. | вертикальная черта

Назначение Отделяет два или более взаимно исключающих пунктов из

списка, одно из которых должно быть введено. { фигурные скобки }

Назначение Содержит необязательное значение или набор необязательных

аргументов.


150

ПРИЛОЖЕНИЕ В. Глоссарий

1

10Base-F Реализация стандарта IEEE 802.3 Ethernet с использованием оптического кабеля.

10Base-T Спецификация IEEE 802.3i для сетей Ethernet с

использованием неэкранированного кабеля на основе скрученных пар ("витая пара").

100Base-T Спецификация IEEE 802.3us для сетей Ethernet со

скоростью передачи 100 Мбит/сек на основе неэкранированного кабеля на основе скрученных пар ("витая пара").

100Base-TX Часть спецификации IEEE 802.3u Ethernet для скорости

100 Мбит/с с использованием 2-пар неэкранированного медного кабеля категории 5.

100Base-FX Часть спецификации IEEE 802.3u Ethernet для скорости

100 Мбит/с с использованием оптических кабелей и стандарта FDDI TP-PMD для PMD (физическая среда).

10Gbase-ER Оптический интерфейс 10G Ethernet, обеспечивающий

передачу сигналов со скоростью 10 Гбит/с по одномодовому кабелю протяженностью около 40 км (25 миль) при длине волны оптического излучения 1550 нм.

10Gbase-LR Оптический интерфейс 10G Ethernet, обеспечивающий

передачу сигналов со скоростью 10 Гбит/с по одномодовому кабелю протяженностью более 10 км (6 миль) при длине волны оптического излучения 1310 нм.

10Gbase-SR Оптический интерфейс 10G Ethernet, обеспечивающий

передачу сигналов со скоростью 10 Гбит/с по многомодовому кабелю протяженностью до 300 метров (990 футов) при длине волны оптического излучения 850 нм.

A

Access method Метод доступа. Набор правил, обеспечивающих арбитраж доступа к среде передачи. Примерами методов доступа являются CSMA/CD (Ethernet) и передача маркера (Token Ring).

Address Адрес. Уникальный идентификатор, присваиваемый сети или

сетевому устройству для того, чтобы другие сети и устройства могли распознать его при обмене информацией.


151

Address mask Адресная маска. Битовая маска, используемая для выбора битов из адреса Internet для адресации подсети. Маска имеет размер 32 бита и выделяет сетевую часть адреса Inetrnet и один или несколько битов локальной части адреса. Иногда называется маской подсети.

Address resolution Разрешение адреса. Используется для

преобразования адресов сетевого уровня (Network Layer) в обусловленные средой (media-specific) адреса. См. также ARP.

Agent Агент. Применительно к SNMP термин агент означает

управляющую систему. В модели клиент-сервер - часть системы, выполняющая подготовку

информации и обмен ею между клиентской и серверной частью. Aggregate link Агрегированный канал. Это объединение нескольких

физических каналов в одну логическую магистраль. Application Layer Уровень приложений. Верхний уровень модели OSI,

обеспечивающий такие коммуникационные услуги, как электронная почта и перенос файлов.

ARP(Address Resolution Protocol) Протокол разрешения адресов.

Протокол Internet, используемый для динамического преобразования адресов Internet в физические (аппаратные) адреса устройств локальной сети. В общем случае ARP требует передачи широковещательных сообщений всем узлам, на которое отвечает узел с соответствующим запросу IP-адресом.

B

Backbone Магистраль, часть сети, по которой передается основной трафик и которая является чаще всего источником и приемником других сетей.

Backplane Объединительная плата. Физическое соединение между

интерфейсным процессором или платой, шинами данных и шинами распределения питания системного блока устройства.

Bandwidth Полоса пропускания, диапазон между самой высокой и

самой низкой частотой, доступной для передачи сетевых сигналов. Диапазон частот измеряется в герцах (Гц).

Bridge Мост. Устройство, соединяющее две или несколько физических

сетей и передающее пакеты из одной сети в другую. Мосты работают на канальном уровне OSI модели.

BPDU(Bridge Protocol Data Unit) Модуль данных мостового

протокола. Пакет приветствия протокола связующего дерева (Spanning –Tree Protocol), который посылается через заданные интервалы времени для обмена информацией между мостами сети.


152

Broadcast Широковещание. Система доставки пакетов, при которой

копия каждого пакета передается всем узлам, подключенным к сети. Примером широковещательной сети является Ethernet.

Bus topology Шинная топология. Топология сети, при которой в

качестве среды передачи используется единый кабель (он может состоять из последовательно соединенных отрезков), к которому подключаются все сетевые устройства.

C

Channel Канал. Путь передачи [электрических] сигналов между двумя или несколькими точками. Используются также термины: link, line, circuit и facility

Chassis Шасси. Специальная конструкция для установки модулей и

других компонент, образующих вместе единое устройство. Шасси обеспечивает питание и соединяющую модули магистраль.

CLI Command Line Interface , интерфейс командной строки. Позволяет

пользователю взаимодействовать с операционной системой путем ввода команд и параметров.

Client Клиент. Узел или программное обеспечение (внешнее

устройство), которое запрашивает у сервера некоторые сервисы. Collision Коллизия. Возникает в сети Ethernet, когда два узла

одновременно ведут передачу. Передаваемые ими по физическому носителю кадры сталкиваются и разрушаются.

Collision domain Коллизионный домен. Часть сети Ethernet, все узлы

которой распознают коллизию независимо от того, в какой части сети эта коллизия возникла.

CoS(Class of Service) класс обслуживания. Характеристика,

позволяющая определить, как протокол верхнего уровня использует протокол нижнего уровня для обработки его сообщений. Другое название ToS.

Crossover Перекрестное соединение. Соединение (внешнее или

внутреннее) передатчика на одном конце коммуникационного канала с приемником на другом его конце.

CSMA/CD(Carrier sense multiple access/collision detection)

множественный доступ к среде с обнаружением конфликтов и распознаванием несущей. Механизм доступа, при котором устройства, готовые для передачи данных, сначала проверяют наличие частоты. Если ее нет в течении некоторого заданного промежутка времени, то устройства


153

могут приступать к передаче данных. При одновременной передаче со стороны двух устройств возникает коллизия, которая может быть обнаружена всеми вызвавшими ее устройствами. Такая коллизия, в свою очередь, задерживает повторную передачу данных этими устройствами на некоторое произвольное время. CSMA/CD –доступ используется в Ethernet и IEEE 802.3.

Cut-through packet switching Сквозная коммутация пакетов. Способ

коммутации, при котором данные проходят через коммутатор таким образом, что ведущий край пакета покидает коммутатор на выходном порте еще до того, как закончится прием пакета на входном порте. Устройство со сквозной коммутацией пакетов считывает, обрабатывает и передает пакеты сразу после определения адреса приемника и выходного порта. Этот способ также называется оперативной коммутацией пакетов.

D

Data Link Layer Канальный уровень. Уровень 2 в модели OSI, который обеспечивает надежную передачу данных по физическому соединению. Канальный уровень отвечает за физическую адресацию, сетевую топологию, дисциплину линии связи, уведомления об ошибках, упорядоченную доставку кадров и управление потоком. IEEE делит этот уровень на два подуровня: МАС и LLC.

Designated bridge Назначенный мост. Мост, через который проходит

самый дешевый маршрут для передачи кадра из сегмента к корневому мосту. DHCP(Dynamic Host Configuration Protocol) протокол динамической

конфигурации узла. Обеспечивает механизм динамического распределения и повторного использования освобождаемых IP-адресов.

E EMI(Electromagnetic interference) электромагнитная интерференция.

Взаимное наложение электромагнитных сигналов, из-за которых может нарушиться целостность сигналов и увеличиться частота ошибок в каналах передачи данных.

Encapsulation Инкапсуляция. Метод, используемый многоуровневыми

протоколами, в которых уровни добавляют заголовки в модуль данных протокола (protocol data unit - PDU ) из вышележащего. В терминах Internet - пакет содержит заголовок физического уровня, за которым следует заголовок сетевого уровня (IP), а за ним - заголовок транспортного уровня (TCP), за которым располагаются данные прикладных протоколов.

Ethernet Стандарт организации локальных сетей (ЛВС), описанный в

спецификациях IEEE и других организаций. IEEE 802.3. Ethernet использует полосу 10 Мбит/с и метод доступа к среде CSMA/CD. Наиболее популярной


154

реализацией Ethernet является 10Base-T. Развитием технологии Ethernet является Fast Ethernet (100 Мбит/сек) и Gigabit Ethernet (1000 Мбит/с).

Ethernet address Адрес Ethernet. 48-битовое значение, являющееся

уникальным идентификатором устройства (порта Ethernet) в сети. Обычно записывается 12 шестнадцатеричными цифрами.

ETTH (Ethernet to the Home) Цель решения ETTH заключается в

передаче данных, речи и видео по простой и недорогой сети Ethernet. Уникальным преимуществом данного решения является то, что использование Ethernet с оптическим волокном в качестве среды передачи данных позволяет обеспечить гигабитный доступ по сети непосредственно из помещений клиентов услуг.

F

Fault management Контроль сбоев. Одна из пяти определенных ISO областей управления сетями. Основной задачей этой области сетевого управления является детектирование, изоляция и корректировка сбойных фрагментов сети.

Fault tolerance Устойчивость к сбоям. Способность программы или

системы корректно работать при возникновении сбоев. Устойчивые к сбоям системы создаются для обеспечения работы при отключении питания, повреждении дисков, серьезных ошибках пользователей и т.п.

Fiber optic cable Оптический кабель. Кабель, содержащий одно или

несколько оптических волокон и предназначенный для передачи данных. Filtering Фильтрация. Процесс проверки пакетов данных в сети и

определения адресатов для принятия решения о дальнейшей пересылке (данная ЛВС, удаленная ЛВС) или отбрасывании пакета. Фильтрация пакетов выполняется мостами, коммутаторами и маршрутизаторами.

Flooding Лавинная передача. Способ передачи трафика, используемый

в коммутаторах и мостах, при котором полученный интерфейсом трафик пересылается всем другим интерфейсам этого устройства.

Flow control Управление потоком. Методы, используемые для контроля

за передачей данных между двумя точками сети и позволяющие избегать потери данных в результате переполнения приемных буферов.

Forwarding table Таблица пересылки. Таблица, содержащая

идентификаторы и адреса, а также пределы рассылки адресов. Frame Кадр. Единица информации на канальном уровне сетевой

модели. В ЛВС кадр представляет собой единицу данных подуровня MAC , содержащую управляющие данные и пакет сетевого уровня. Иногда для обозначения кадров используется термин пакет, но термины кадр или фрейм


155

никогда не используются для обозначения пакетов сетевого уровня. Кадр обычно содержит ограничители, управляющие поля, адреса, контрольную сумму и собственно информацию.

Full duplex Дуплексная передача. Одновременная передача данных

между станцией-отправителем и станцией- получателем.

G

GUI(Graphical User Interface) графический интерфейс пользователя. Метод взаимодействия между пользователем и компьютером, при котором пользователь может вызывать различные функции, указывая на графические элементы (кнопки) вместо ввода команд с клавиатуры.

H

Half Duplex Полудуплексный режим. Способность канала в каждый момент времени только передавать или принимать информацию. Прием и передача, таким образом, должны выполняться поочередно.

I

IEEE(Institute of Electrical and Electronic Engineers) Институт инженеров по электротехнике и радиоэлектронике. Профессиональная организация, основанная в 1963 году для координации разработки компьютерных и коммуникационных стандартов. Институт подготовил группу стандартов 802 для локальных сетей. Подкомитет 802 является частью технического комитета по компьютерным коммуникациям (Technical Committee for Computer Communications), основанного в 1980 году для обеспечения совместимости оборудования и программ различных фирм. Членами IEEE являются ANSI и ISO.

IEEE 802 Комитет IEEE 802. Один из комитетов IEEE, ответственный за

разработку стандартов для локальных и городских сетей. Наибольшее распространение получили стандарты Ethernet, Token Ring, Wireless LAN.

IEEE 802.3 Спецификация IEEE для локальных сетей CSMA/CD. IGMP(Internet Group Management Protocol) межсетевой протокол

управления группами. Протокол, используемый IP-узлами для уведомления смежных широковещательных маршрутизаторов об их участии в широковещательных группах.

IP(Internet Protocol) IP- протокол. Часть стека протоколов TCP/IP,

определенного в RFC 791 . Описывает программную маршрутизацию пакетов и адресацию устройств. Стандарт используется для передачи через сеть


156

базовых блоков данных и дейтаграмм IP. Обеспечивает передачу пакетов без организации соединений и гарантии доставки.

IP address IP-адрес. Адрес для протокола IP - 32 битовое (4 байта)

значение, определенное в STD 5 (RFC 791) и используемое для представления точек подключения в сети TCP/IP. IP-адрес состоит из номера сети (network portion) и номера хоста (host portion) - такое разделение позволяет сделать маршрутизацию более эффективной. Обычно для записи IP-адресов используют десятичную нотацию с разделением точками. Новая версия протокола IPv6 использует 128-разрядные адреса, позволяющие решить проблему нехватки адресного пространства.

L

LAN(Local Area Network) локальная сеть. Высокоскоростная компьютерная сеть, покрывающая относительно небольшую площадь. Локальные сети объединяют рабочие станции, периферийные устройства, терминалы и другие устройства, находящиеся в одном здании или на другой небольшой территории.

LLC(Logical Link Control) подуровень управления логическим

соединением. Высший из двух подуровней канального уровня, определенный IEEE. Управляет обработкой ошибок, потоками, кадрированием, а также адресацией МАС-подуровня. Наиболее распространенным LLC-протоколом является IEEE 802.2. Существуют варианты IEEE 802.2 с подтверждением и без подтверждения.

M

MAC(Media Access Control) управление доступом к передающей среде. Низший из двух подуровней канального уровня, определенный IEEE. МАС-подуровень управляет доступом к совместно используемым носителям.

MAC address МАС-адрес. Стандартный адрес канального уровня,

который требуется задавать для каждого порта или устройства, подключенного к локальной сети. Другие устройства используют эти адреса для обнаружения специальных сетевых портов, а также для создания и обновления таблиц маршрутизации и структур данных. Длина МАС-адреса составляет 6 байтов, а их содержимое регламентируется IEEE. МАС-адреса также называют аппаратными или физическими адресами.

MAC address learning Изучение МАС-адресов. Служба

самообучающегося моста, в котором хранится МАС-адрес источника для


157

каждого полученного пакета. Затем эти адреса используются для передачи следующих пакетов только через те мостовые интерфейсы, где расположены эти адреса. Пакеты с нераспознанным адресом передаются через все мостовые интерфейсы. Эта схема позволяет уменьшить трафик через присоединенные локальные сети. Служба изучения МАС-адресов определена в стандарте IEEE 802.1.

MIB(Management Information Base) база управляющей информации.

База данных, где хранится информация для управления сетью, которая используется и поддерживается протоколом сетевого управления SNMP. Значение MIB-объекта может быть изменено или извлечено с помощью команд SNMP и сетевой системы управления (например, D-Link D -View) с GUI-интерфейсом. MIB-объекты образуют древовидную структуру с открытыми (стандартными) и закрытыми (частными) ветвями.

MTU(Maximum Transmission Unit) модуль передачи максимального

размера. Максимальный размер (в байтах) пакета данных, который можно передать через данный интерфейс.

Multicast Многоадресная рассылка. Режим копирования одиночных

пакетов и их передачи заданному подмножеству сетевых адресов. Эти адреса задаются в поле адреса приемника (Destination address field).

Multicast address Групповой адрес. Общий адрес, который относится к

некоторой группе нескольких сетевых устройств. Multicast group Многоадресная группа. Динамически определенная

группа IP-узлов, идентифицируемая одним групповым IP-адресом. Multicast router Многоадресный маршрутизатор. Маршрутизатор,

используемый для передачи IGMP-запросов для присоединенных локальных сетей. Узлы, принадлежащие к многоадресной группе, отвечают на запрос посылкой IGMP-отчетов с обозначением тех широковещательных групп, к которым они относятся. Многоадресный маршрутизатор отвечает за передачу дейтаграмм от данной группы ко всем сетям, которые содержат членов этой группы.

N

Network Сеть. 1. Соединение группы узлов (компьютеров или других устройств). 2. Группа точек, узлов или станций, соединенных коммуникационными

каналами и набор оборудования, обеспечивающего соединение станций и передачу между ними информации.

Network Address Сетевой адрес. Адрес сетевого уровня, который

относится к логическому, а не к физическому сетевому устройству. Он также называется протокольным адресом (protocol address).


158

Network Layer Сетевой уровень. Уровень 3 модели OSI, отвечающий

за маршрутизацию, переключение и доступ к подсетям через всю среду OSI. Node Узел. Точка присоединения к сети, устройство, подключенное к

сети. NVRAM NonVolatile RAM, энергонезависимое ОЗУ. Оперативное

запоминающее устройство, содержимое которого сохраняется при отключении питания.

P

Packet Пакет. Группа битов, включающая данные и служебные поля, представленные в соответствующих форматах, и передаваемая целиком. Структура пакета зависит от протокола. В общем случае пакет включает 3 основных элемента: управляющую информацию (адрес получателя и отправителя, длина пакета и т.п.), передаваемые данные, биты контроля и исправления ошибок. Блок информации помечается на уровне 3 (сетевой) модели OSI.

PDU(Protocol Data Unit) модуль данных протокола. Термин OSI для

пакетов данных. Physical Layer Физический уровень. Уровень 1 модели OSI.

Определяет электрические, механические, процедурные и функциональные спецификации для создания, поддержки и разрыва физического соединения между конечными системами.

Ping (Packet INternet Groper) проверка доступности адресата. Эхо-

сообщение ICMP и ответ на него. Инструмент, используемый для проверки доступности адресата в IP-сетях.

Port density Плотность портов. Количество портов на шасси. Port security Безопасность портов. Функция, применяемая в

коммутаторах для обеспечения безопасности. Proxy ARP(Proxy Address Resolution Protocol) агент протокола

разрешения адресов. Вариант протокола ARP, в котором промежуточное устройство (например, маршрутизатор) посылает ответ ARP от имени конечного узла запрашивающему хосту.

Q

QoS(Quality of Service) качество обслуживания. Показатель эффективности системы передачи данных, который отражает качество передачи.


159

R

RADIUS(Remote Authentication Dial-In User Service) служба аутентификации удаленных пользователей. Предварительный стандарт IETF, обеспечивающий аутентификацию, проверку полномочий и другие операции при доступе в сеть удаленных пользователей по коммутируемым линиям.

Redundancy Избыточность. Дублирование устройств, сервисов и

соединений. В случае неисправности позволяет избыточным устройствам, службам и соединениям выполнять функции неисправных.

Redundant system Избыточная система. Компьютер, маршрутизатор,

коммутатор или другая система, которая содержит два или более экземпляра наиболее важных подсистем, таких как дисководы, центральные процессоры или источники питания.

Reliability Надежность. Соотношение ожидаемых и полученных по

каналу вспомогательных элементов сетевых служб. Чем выше это соотношение, тем надежнее линия.

RMON(Remote MONitoring) удаленный мониторинг. Спецификация

MIB-агента, описанная в RFC 1271, которая определяет функции удаленного мониторинга сетевых устройств. Спецификация RMON предоставляет многочисленные возможности для мониторинга, определения неисправностей и отчетности. Модуль удаленного мониторинга, позволяющий собирать информацию об устройстве и управлять им через сеть.

Router Маршрутизатор. Устройство сетевого уровня, отвечающее за

принятие решений о выборе одного из нескольких путей передачи сетевого трафика. Маршрутизаторы отправляют пакеты из одной сети в другую на основе информации сетевого уровня.

Routing Маршрутизация. Процесс выбора оптимального пути для

передачи сообщения. RS-232 Стандарт EIA для 25-контактного последовательного

интерфейса, используемого для соединения ПК или терминалов (DTE) с коммуникационным оборудованием (DCE) типа модемов.

S

Segment Сегмент. 1. Секция сети, ограниченная мостами, маршрутизаторами или

коммутаторами. 2. В LAN с шинной топологией – непрерывная электрическая цепь,

часто соединенная с другими сегментами при помощи повторителей.


160

3. Термин, используемый в спецификации TCP для описания одиночного модуля транспортного уровня.

Session Layer Сеансовый уровень. Уровень 5 модели OSI,

обеспечивающий способы ведения управляющего диалога между системами. SNMP(Simple Network Management Protocol) простой протокол

управления сетью. Протокол управления сетью, используемый почти исключительно в сетях TCP/IP. SNMP предоставляет средства контроля и управления сетевыми устройствами, конфигурациями, производительностью и безопасностью, а также сбора статистической информации.

SOHO(Small Office, Home Office) малый и домашний офис. Сетевые

комплексы и технологии доступа для офисов не имеющих прямого подключения к крупным корпоративным сетям.

Spanning Tree Связующее дерево. Нециклическая часть сетевой

топологии. STA(Spanning Tree Algorithm) Алгоритм построения связующего

дерева. Алгоритм, используемый протоколом связующего дерева для построения связующего дерева. Иногда применяется аббревиатура STA.

STP(Spanning Tree Protocol) Протокол связующего дерева. Мостовой

протокол, использующий алгоритм связующего дерева и позволяющий самообучающемуся мосту динамически обрабатывать петли в сетевой топологии путем создания связующего дерева. Мосты обнаруживают петли путем обмена сообщениями BPDU с другими мостами и ликвидируют их посредством блокирования выбранных мостовых интерфейсов.

Store and forward packet switching Коммутация пакетов с

промежуточным хранением. Методика коммутации пакетов, согласно которой кадры полностью обрабатываются перед их отправкой через соответствующий порт. Обработка включает расчет CRC и проверку адреса приемника. Кроме того, кадры необходимо временно хранить до тех пор, пока не станут доступными сетевые ресурсы (например, свободный канал) для передачи сообщения. Эта технология противоположна коммутации пакетов без буферизации (cut-through packet switching).

Switch Коммутатор. Сетевое устройство, которое фильтрует,

пересылает и направляет кадры в зависимости от их адреса приемника. Коммутатор работает на канальном уровне модели OSI.

Switched LAN Коммутируемая сеть. Локальная сеть с коммутаторами.

T

Tag Тег. Идентификационная информация, в том числе и номер.


161

TCP(Transmission Control Protocol) протокол управления передачей. Ориентированный на соединение протокол транспортного уровня, обеспечивающий надежную дуплексную передачу данных. TCP входит в набор протоколов ТСР/IP.

TCP/IP(Transmission Control Protocol/Internet Protocol) протокол

управления передачей/ Internet –протокол. Общее название набора протоколов, разработанных министерством обороны США в 1970-е гг. для всемирного сетевого комплекса.

Telnet Стандартный протокол виртуального терминала из набора

протоколов TCP/IP. Протокол Telnet используется для удаленного терминального соединения, что дает возможность пользователям подключаться к удаленным системам и использовать их ресурсы, как если бы они работали через обычный терминал.

TFTP(Trivial File Transfer Protocol) простейший протокол передачи

файлов. Упрощенная версия протокола FTP, который позволяет компьютерам обмениваться файлами по сети.

Throughput Пропускная способность. Объем информации,

поступающей и, возможно, проходящей через определенный участок сети в определенный момент времени.

Traffic segmentation Сегментация трафика. Функция, используемая в

коммутаторах для разграничения доменов на уровне 2. Transport Layer Транспортный уровень. Уровень 4 модели OSI,

отвечающий за надежную передачу данных между конечными системами. Trap Ловушка. Тревожное сообщение (alarm message), которое

устройство, находящееся под мониторингом, посылает управляющей станции при возникновении тревожных условий. Условия тревоги могут включать ошибки устройств, сетевые ошибки, изменения состояний и переход заданных пороговых значений.

Trunk Магистраль. Физическое и логическое соединение между двумя

коммутаторами, по которому передается сетевой трафик. Основная магистраль состоит из нескольких магистралей.

U

UDP (User Datagram Protocol) протокол дейтаграмм пользователя. Протокол транспортного уровня, не требующий подтверждения соединения. Входит в набор TCP/IP. UDP обеспечивает обмен дейтаграммами без подтверждения и гарантий доставки.


162

V

VLAN(Virtual LAN) виртуальная локальная сеть. Группа устройств, принадлежащих одной или нескольким локальным сетям и сконфигурированных таким образом (при помощи программного обеспечения), что обмен данными между ними происходит так, как будто они подключены к одному кабелю, хотя на самом деле находятся в разных сегментах локальной сети. VLAN основаны на логическом соединении.